Compartilhamento de recursos de origem cruzada (CORS) com nginx / chrome

Navegue suas respostas
12

Eu tenho um site com a seguinte segmentação: 

api.example.com 
developers.example.com 
example.com

Gostaria de permitir que example.com e developers.example.com façam solicitações AJAX para api.example.com .

Minha configuração do nginx até agora para api.example.com , que é um aplicativo do Rack sendo exibido por unicórnio, tem esta aparência: 

upstream app_server {
  server unix:/tmp/api.example.com.sock fail_timeout=0;
}

server {
       listen 80;
       server_name api.example.com;
       access_log /home/nginx/api.example.com/log/access.log;
       error_log /home/nginx/api.example.com/log/error.log;
       location / {
         add_header 'Access-Control-Allow-Origin' 'http://example.com,http://developers.example.com';
         add_header 'Access-Control-Allow-Credentials' 'true';
         add_header 'Access-Control-Allow-Headers' 'Content-Type,Accept';
         add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';

         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header Host $http_host;
         proxy_redirect off;
         proxy_pass http://app_server;
       }

}

Com base na minha leitura, isso deve ser suficiente para o que estou tentando fazer.

A resposta OPTIONS : 

HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Sat, 28 Apr 2012 17:20:08 GMT
Content-Type: application/json
Connection: close
Status: 200 OK
Content-Length: 0
Access-Control-Allow-Origin: http://developers.example.com,http://example.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Content-Type,Accept
Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE

Mas quando eu tento o seguinte no console do Chrome: 

$.ajax("http://api.example.com", {
  type: 'get',
  contentType: "application/json",
  accept: "application/json"
}).success(function(data){
  console.log("success!", data);
}).fail(function(jqxhr, statusText){
  console.log("fail!", jqxhr, statusText);
})

Eu vejo: 

XMLHttpRequest cannot load http://api.example.com/. Origin
http://developers.example.com is not allowed by Access-Control-Allow-Origin.

E o mesmo para o link .

O que estou perdendo?

Se eu definir o Access-Control-Allow-Origin para * , então vejo: 

HTTP/1.1 200 OK
Server: nginx/0.7.67
Date: Sat, 28 Apr 2012 17:28:41 GMT
Content-Type: application/json
Connection: close
Status: 200 OK
Content-Length: 0
Access-Control-Allow-Origin: *
Access-Control-Allow-Headers: Content-Type,Accept
Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE

Mas a solicitação do jQuery ainda falha, com o chrome também destacando que o pré-flight OPTIONS falhou (mesmo que tenha retornado 200 OK ).

    
por John Ledbetter 28.04.2012 / 19:30

2 respostas

15

De acordo com a especificação do CORS , várias origens devem ser separadas por espaços, não por vírgulas, como você usado, então tente enviar este cabeçalho: 

Access-Control-Allow-Origin: http://developers.example.com http://example.com

A documentação da Mozilla não menciona várias origens, portanto, se isso ainda não funcionar, tente enviar apenas: 

Access-Control-Allow-Origin: http://developers.example.com

Se isso funcionar, você precisará configurar o nginx ou o servidor de aplicativos para retornar um cabeçalho Access-Control-Allow-Origin contendo o valor do cabeçalho Origin enviado pelo cliente, se ele corresponder à lista permitida. Algo como a seguinte configuração nginx (não testada) poderia fazer isso: 

if ($http_origin ~ "^(http://developers.example.com|http://example.com)$") {
    add_header "Access-Control-Allow-Origin" $http_origin;
}
    
por 01.05.2012 / 07:53
4

Usando um if em um bloco location em uma configuração nginx como esta: 

if ($http_origin ~ "^(http://developers.example.com|http://example.com)$") {
    add_header "Access-Control-Allow-Origin" $http_origin;
}

Faz com que o nginx faça coisas estranhas. Especificamente, proxy_pass e try_files não funcionam como esperado. Consulte o link para mais informações.

    
por 11.09.2014 / 21:25

Tags

Como desabilitar o SSLCompression no Apache httpd 2.2.15? (Defesa contra CRIME / BEAST) É possível usar o Docker para separar sites para usuários?