Aucun en-tête 'Access-Control-Allow-Origin' présent malgré le réglage de DISCOURSE_ENABLE_CORS: true

xprmnts · Octobre 28, 2021, 1:44

J’ai ajouté les déclarations suivantes dans notre app.yml :

  DISCOURSE_ENABLE_CORS: true
  DISCOURSE_CORS_ORIGIN: '*'

J’ai temporairement défini ‘*’ pour éliminer les variables lors des tests. J’ai également essayé de définir explicitement les URL, mais sans succès.

Cependant, malgré ce qui précède, nous obtenons toujours :

Blockquote

L’en-tête ‘Access-Control-Allow-Origin’ est absent de la ressource demandée.

Contexte : Nous disposons d’un client iOS basé sur Unity qui interagit avec certaines API Discourse et, pour les tests, nous utilisons WebGL. Nous rencontrons ce problème lors des tests sur nos navigateurs exécutant spécifiquement WebGL.

J’observe également, à partir des tests Postman, que toutes les requêtes comportent une stratégie de référence ‘strict-origin-when-cross-origin’ dans les en-têtes de réponse.

Toute aide serait appréciée. Merci !

IAmGav · Octobre 28, 2021, 1:49

Le paramètre cors origins est géré dans admin > paramètres > sécurité.

Vous avez uniquement besoin de DISCOURSE_ENABLE_CORS: dans votre fichier app.yml.

xprmnts · Octobre 28, 2021, 1:53

J’ai également essayé et testé cela.

xprmnts · Octobre 28, 2021, 1:58

Et pour notre configuration de site unique, définir l’origine dans le fichier .yml ou via l’interface d’administration devrait avoir le même effet, selon : What is the purpose of Settings -> Security -> CORS origins vs similar environment setting?

Falco · Octobre 28, 2021, 2:12

Je ne suis pas sûr que nous prenions en charge les caractères génériques ici. Pouvez-vous essayer avec un vrai domaine ? Nous utilisons les paramètres CORS sur plusieurs sites avec des domaines configurés, et cela semble fonctionner correctement.

IAmGav · Octobre 28, 2021, 2:30

Je l’ai aussi configuré sur l’un de mes sites et cela fonctionne.

xprmnts · Octobre 28, 2021, 2:51

J’ai essayé avec un domaine, sans succès. Y a-t-il un moyen de confirmer que les variables d’environnement sont correctement définies ? (ou que le redémarrage de l’application a configuré le CORS sans renvoyer de requêtes, je cherche simplement des pistes pour déboguer).

Je pense que c’est la partie du code qui gère les paramètres CORS, au cas où cela serait utile.

github.com/discourse/discourse

config/initializers/008-rack-cors.rb

862773ec8


      
          def call(env)
          
            cors_origins = @global_origins || []
            cors_origins += SiteSetting.cors_origins.split('|') if SiteSetting.cors_origins.present?
            cors_origins = cors_origins.presence
          
            if env['REQUEST_METHOD'] == ('OPTIONS') && env['HTTP_ACCESS_CONTROL_REQUEST_METHOD']
              return [200, Discourse::Cors.apply_headers(cors_origins, env, {}), []]
            end
          
            env[Discourse::Cors::ORIGINS_ENV] = cors_origins if cors_origins
          
            status, headers, body = @app.call(env)
            headers ||= {}
          
            Discourse::Cors.apply_headers(cors_origins, env, headers) if cors_origins
          
            [status, headers, body]
          end

This file has been truncated. show original

xprmnts · Octobre 28, 2021, 4:07

Dans les journaux d’accès nginx, je remarque que l’appel OPTIONS renvoie une erreur 404 (et précède l’erreur sur l’appel GET).

Sujet		Réponses	Vues
What is the purpose of Settings -> Security -> CORS origins vs similar environment setting? Support	3	3696	Novembre 19, 2015
Set DISCOURSE_ENABLE_CORS for hosted forum Self-hosting hosting	5	2530	Octobre 7, 2022
CORS origins setup does not work Support	7	1949	Octobre 23, 2020
Multiple cors origins on hosted discourse? Support	9	3091	Juin 8, 2024
CORS issue with javascript frontend Self-hosting	2	692	Août 19, 2020

Aucun en-tête 'Access-Control-Allow-Origin' présent malgré le réglage de DISCOURSE_ENABLE_CORS: true

Sujets connexes