Nessun header 'Access-Control-Allow-Origin' presente nonostante l'impostazione di DISCOURSE_ENABLE_CORS: true

xprmnts · 28 Ottobre 2021, 1:44pm

Ho aggiunto le seguenti righe nel nostro app.yml

  DISCOURSE_ENABLE_CORS: true
  DISCOURSE_CORS_ORIGIN: '*'

Ho impostato temporaneamente ‘*’ per eliminare le variabili durante i test. Ho anche provato a impostare esplicitamente gli URL, ma senza successo.

Tuttavia, nonostante quanto sopra, otteniamo ancora

Blockquote

L’intestazione ‘Access-Control-Allow-Origin’ non è presente sulla risorsa richiesta.

Contesto: Abbiamo un client iOS basato su Unity che interagisce con alcune API di Discourse e, per i test, utilizziamo WebGL. Incontriamo questo problema quando testiamo sui browser che eseguono WebGL in particolare.

Sto anche notando dai test con Postman che tutte le richieste hanno una ‘strict-origin-when-cross-origin’ Referrer-Policy nelle intestazioni di risposta.

Qualsiasi aiuto è apprezzato. Grazie!

IAmGav · 28 Ottobre 2021, 1:49pm

L’impostazione cors origins è controllata in admin > settings > security

È sufficiente avere DISCOURSE_ENABLE_CORS: nel file app.yml

xprmnts · 28 Ottobre 2021, 1:53pm

Ho provato e testato anche questo

xprmnts · 28 Ottobre 2021, 1:58pm

E per la nostra configurazione con singolo sito, impostare l’origine nel file .yml rispetto all’interfaccia di amministrazione dovrebbe avere lo stesso effetto, come descritto qui: What is the purpose of Settings -> Security -> CORS origins vs similar environment setting?

Falco · 28 Ottobre 2021, 2:12pm

Non sono sicuro che qui supportiamo il wildcard. Puoi provarlo con un dominio reale? Stiamo utilizzando le impostazioni CORS su alcuni siti con domini configurati e sembra funzionare correttamente.

IAmGav · 28 Ottobre 2021, 2:30pm

L’ho impostato anche su uno dei miei siti e funziona.

xprmnts · 28 Ottobre 2021, 2:51pm

Ho provato con un dominio, ma senza successo. C’è un modo per confermare che le variabili d’ambiente siano impostate correttamente? (O che il riavvio dell’app abbia configurato il CORS senza inviare nuovamente le richieste, sto solo cercando di capire come fare debug).

Penso che questa sia la parte del codice che gestisce le impostazioni del CORS, nel caso possa essere utile.

github.com/discourse/discourse

config/initializers/008-rack-cors.rb

862773ec8


      
          def call(env)
          
            cors_origins = @global_origins || []
            cors_origins += SiteSetting.cors_origins.split('|') if SiteSetting.cors_origins.present?
            cors_origins = cors_origins.presence
          
            if env['REQUEST_METHOD'] == ('OPTIONS') && env['HTTP_ACCESS_CONTROL_REQUEST_METHOD']
              return [200, Discourse::Cors.apply_headers(cors_origins, env, {}), []]
            end
          
            env[Discourse::Cors::ORIGINS_ENV] = cors_origins if cors_origins
          
            status, headers, body = @app.call(env)
            headers ||= {}
          
            Discourse::Cors.apply_headers(cors_origins, env, headers) if cors_origins
          
            [status, headers, body]
          end

This file has been truncated. show original

xprmnts · 28 Ottobre 2021, 4:07pm

Nei log di accesso di nginx, noto che la chiamata OPTIONS restituisce un 404 (e precede l’errore nella chiamata GET)

Argomento		Risposte	Visualizzazioni
What is the purpose of Settings -> Security -> CORS origins vs similar environment setting? Support	3	3696	Novembre 19, 2015
Set DISCOURSE_ENABLE_CORS for hosted forum Self-hosting hosting	5	2530	Ottobre 7, 2022
CORS origins setup does not work Support	7	1949	Ottobre 23, 2020
Multiple cors origins on hosted discourse? Support	9	3090	Giugno 8, 2024
CORS issue with javascript frontend Self-hosting	2	692	Agosto 19, 2020

Nessun header 'Access-Control-Allow-Origin' presente nonostante l'impostazione di DISCOURSE_ENABLE_CORS: true

Argomenti correlati