ruby-on-rails - 通过 CORS 政策允许任何事情

Question

如何禁用cors？出于某种原因，我对允许的来源和标头进行了通配符，但我的 ajax 请求仍然抱怨我的 CORS 策略不允许来源......

我的应用程序控制器：

class ApplicationController < ActionController::Base
  protect_from_forgery
  before_filter :current_user, :cors_preflight_check
  after_filter :cors_set_access_control_headers

# For all responses in this controller, return the CORS access control headers.

def cors_set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Control-Allow-Headers'] = '*'
  headers['Access-Control-Max-Age'] = "1728000"
end

# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.

def cors_preflight_check
  if request.method == :options
    headers['Access-Control-Allow-Origin'] = '*'
    headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Control-Allow-Headers'] = '*'
    headers['Access-Control-Max-Age'] = '1728000'
    render :text => '', :content_type => 'text/plain'
  end
end
  private
  # get the user currently logged in
  def current_user
    @current_user ||= User.find(session[:user_id]) if session[:user_id]
  end
  helper_method :current_user

end

路线：

  match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
  match "/alert" => "alerts#create"
  match "/alerts" => "alerts#get"
  match "/login" => "sessions#create"
  match "/logout" => "sessions#destroy"
  match "/register" => "users#create"

编辑 - -

我也试过：

   config.middleware.use Rack::Cors do
      allow do
        origins '*'
        resource '*', 
            :headers => :any, 
            :methods => [:get, :post, :delete, :put, :options]
      end
    end

在应用程序.rb

--编辑 2---

问题是我认为 Chrome 扩展程序可能不支持 CORS。如何绕过 CORS 获取信息？我应该如何应对预检检查？

Answer 1

我对使用 rails-api 的公共 API 有相同的要求。

我还在前置过滤器中设置了标题。它看起来像这样：

headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'

您似乎错过了 Access-Control-Request-Method 标头。

Answer 2

看看rack-cors中间件。它将以可配置的方式处理 CORS 标头。

Answer 3

只需添加 rack-cors gem https://rubygems.org/gems/rack-cors/versions/0.4.0

第一步：将 gem 添加到您的 Gemfile 中：

gem 'rack-cors', :require => 'rack/cors'

然后保存并运行bundle install

第二步：通过添加以下内容更新您的 config/application.rb 文件：

config.middleware.insert_before 0, Rack::Cors do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end

有关更多详细信息，如果您不使用 rails 5，您可以访问https://github.com/cyu/rack-cors Specailly。

Answer 4

我遇到了问题，尤其是 Chrome。你所做的看起来基本上就像我在我的应用程序中所做的一样。唯一的区别是我在我的 Origin CORS 标头中使用正确的主机名进行响应，而不是通配符。在我看来，Chrome 对此很挑剔。

在开发和生产之间切换是一种痛苦，所以我写了这个小功能，它可以帮助我在开发模式和生产模式下。除非另有说明，否则以下所有事情都会发生在我的身上application_controller.rb，这可能不是最好的解决方案，但是rack-cors也对我不起作用，我不记得为什么了。

def add_cors_headers
  origin = request.headers["Origin"]
  unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:")
    origin = "https://your.production-site.org"
  end
  headers['Access-Control-Allow-Origin'] = origin
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
  allow_headers = request.headers["Access-Control-Request-Headers"]
  if allow_headers.nil?
    #shouldn't happen, but better be safe
    allow_headers = 'Origin, Authorization, Accept, Content-Type'
  end
  headers['Access-Control-Allow-Headers'] = allow_headers
  headers['Access-Control-Allow-Credentials'] = 'true'
  headers['Access-Control-Max-Age'] = '1728000'
end

然后我有这个小东西，application_controller.rb因为我的网站需要登录：

before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}

在我的routes.rb我也有这个东西：

match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}

这个方法看起来像这样：

def empty
  render :nothing => true
end

Answer 5

在原来是网络浏览器（在我的情况下是chrome）之前，我遇到过类似的问题。

如果您使用的是 chrome，请尝试这样启动它：

对于 Windows：

1) 在桌面上创建 Chrome 的快捷方式。右键单击快捷方式并选择“属性”，然后切换到“快捷方式”选项卡。

2) 在“目标”字段中，附加以下内容：–args –disable-web-security

对于 Mac，打开终端窗口并从命令行运行：打开 ~/Applications/Google\ Chrome.app/ –args –disable-web-security

以上信息来自：

http://documentumcookbook.wordpress.com/2012/03/13/disable-cross-domain-javascript-security-in-chrome-for-development/

Answer 6

刚刚在我的生产中的rails应用程序中遇到了这个问题。这里的很多答案给了我提示，并帮助我最终得出了一个对我来说很好的答案。

我正在运行 Nginx，只需修改my_app.conf文件（其中my_app是您的应用程序名称）就足够简单了。您可以在以下位置找到此文件/etc/nginx/conf.d

如果您还没有，location / {}您可以将其添加到 下server {}，然后添加add_header 'Access-Control-Allow-Origin' '*';到 下location / {}。

最终格式应如下所示：

server {
    server_name ...;
    listen ...;
    root ...;

    location / {
        add_header 'Access-Control-Allow-Origin' '*';
    }
}

Answer 7

在 /config/application.rb 尝试配置：

config.middleware.insert_before 0, "Rack::Cors" do
  allow do
    origins '*'
    resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true
  end
end

Answer 8

使用 VSC 或任何其他具有 Live 服务器的编辑器，它会给你一个代理，允许你使用 GET 或 FETCH