Как настроить в nginx CORS?

Question

[AleksandrMalinovskiy]

Сейчас реализован данный конфиг nginx и при обращении фронта к бэк все ок но нужно сделать так что бы я мог обратиться к бэк со своего пк дома. Сейчас при обращении корма выдает ошибку
access to XMLHttpRequest at qa.com from origin 'http //localhost:3000' has been blocked by cors policy : Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request

server {
listen 80;
server_name qa.bet.com;
client_max_body_size 10M;
add_header 'Access-Control-Allow-Origin' 'qa.com';

auth_basic "Identity yourself";
auth_basic_user_file /app-auth/htpasswd;

location / {
proxy_pass front:3000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_cache_bypass $http_upgrade;
}

}
server {
listen 80;
server_name qa.com;
client_max_body_size 10M;


location / {
proxy_pass api:3333;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_cache_bypass $http_upgrade;
}
}

Comments

[Дмитрий]

а покажите заголовки ответа OPTIONS на localhost:3000

curl -X OPTIONS http://localhost:3000 -v

[AleksandrMalinovskiy]

Дмитрий, Request URL: qa.com/api/statistics/uTAHi63M8QC4gSrgI
Request Method: OPTIONS
Status Code: 301
Referrer Policy: strict-origin-when-cross-origin
alt-svc: h3=":443"; ma=86400, h3-29=":443"; ma=86400
Cache-Control: max-age=3600
CF-RAY: 7398c357995210eb-CPH
Connection: keep-alive
Date: Fri, 12 Aug 2022 11:10:11 GMT
Expires: Fri, 12 Aug 2022 12:10:11 GMT
Location: https://qa.com/api/statistics/uTAHi63M8QC4gSrgI
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v3?s=PwwHhIOxdNhEBkizCDoZgXd4MU2VT8dnhY3DXI26clkoaIucS%2BPZifaJgXRHldj2a%2FPOXPeRJs84Tmz%2Fc8kvY6eGftkpGpv2rNGstbjrwMLvLwMe8j%2FiU%2B6G8lHVtGXuJxjJ9rWJVg%3D%3D"}],"group":"cf-nel","max_age":604800}
Server: cloudflare
Transfer-Encoding: chunked
Vary: Accept-Encoding
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: ru,ru-RU;q=0.9,en-US;q=0.8,en;q=0.7
Access-Control-Request-Headers: authorization,castle-request-token,language
Access-Control-Request-Method: GET
Connection: keep-alive
Host: qa.com
Origin: localhost:3000
Referer: localhost:3000
Sec-Fetch-Mode: cors
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36

[Дмитрий]

AleksandrMalinovskiy, ну у вас ваша апи зачем то на запрос options отвечает редиректом, именно апи отвечает- nginx в этом абсолютно не причём. Следовательно nginx освобождаем из под стражи - он не виноват, идём копать апи

[AleksandrMalinovskiy]

Дмитрий, спасибо

[AleksandrMalinovskiy]

Дмитрий, апп написано на adonise может подскажете где возможно есть эта строка ?

[Дмитрий]

AleksandrMalinovskiy, сильное подзрение что не фиг http делать а не https.

[Дмитрий]

AleksandrMalinovskiy, я понятия не имею что это такое

[AleksandrMalinovskiy]

Дмитрий, хорошо спасибо

[Дмитрий]

AleksandrMalinovskiy, и вообще в nginx conf у вас написано qa.bet.com. curl вы делаете к qa.com. Ответ содержит в себе заголовки CloudFlare - чего там у вас вообще странное происходит

[AleksandrMalinovskiy]

Дмитрий, на одном сервере фронт и бэк
фронт на одном домене
бэк на другом
и как бы все работает
но для теста новых приложений поднят фронт на пк и получается ошибка при запросах
строка add_header 'Access-Control-Allow-Origin' '*'.; в разделе сервер бэк не могает

[Дмитрий]

AleksandrMalinovskiy, у вас бэк за клаудфларе спрятан? Вряд ли

[AleksandrMalinovskiy]

Дмитрий, да домен у него взят

[Дмитрий]

AleksandrMalinovskiy, а что за домен qa.com?

[AleksandrMalinovskiy]

Дмитрий, это стенд qa домен я сократил

[Дмитрий]

Никаких редиректов - 503
curl -X OPTIONS https://qa.bet.com/api/statistics/utahi63m8qc4gsrgi -v

Никаких редиректов - но домен вряд ли ваш
curl -X OPTIONS https://qa.com/api/statistics/utahi63m8qc4gsrgi/ -v

[Дмитрий]

AleksandrMalinovskiy, попробуйте добиться с вашего компа - ответа от вашего апи без редиректов.

[AleksandrMalinovskiy]

Дмитрий, root@alex:/etc/nginx/conf.d# curl -X OPTIONS https://qa.com -v
* Trying 111111:443...
* TCP_NODELAY set
* Connected to qa.com port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=*.com
* start date: Aug 5 11:40:17 2022 GMT
* expire date: Nov 3 11:40:16 2022 GMT
* subjectAltName: host "qa..com" matched cert's "*.com"
* issuer: C=US; O=Let's Encrypt; CN=E1
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x5579c0f092f0)
> OPTIONS / HTTP/2
> Host: qa.com
> user-agent: curl/7.68.0
> accept: */*
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
* Connection state changed (MAX_CONCURRENT_STREAMS == 256)!
< HTTP/2 204
< date: Fri, 12 Aug 2022 12:10:39 GMT
< access-control-allow-methods: GET,PUT,PATCH,POST,DELETE
< access-control-max-age: 90
< cf-cache-status: DYNAMIC
< expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/e..."
< report-to: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v3?s=%2F3cqvlY6kR61u8%2Fxt6NjUnjli7AXUmExE0TN53Qj%2FZ5Zokg%2BYlzp%2FQ%2BMFwCXQkA6Mg7mAicI3BHi5hs1Y6wH4JEyr4C3ySTQhQiAdTFbsBcmg9Jm83nl%2F9NTLcGbKWzp6%2BPgHkFdxg%3D%3D"}],"group":"cf-nel","max_age":604800}
< nel: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
< server: cloudflare
< cf-ray: 73991bee5ba47a58-DUS
< alt-svc: h3=":443"; ma=86400, h3-29=":443"; ma=86400
<
* Connection #0 to host qa.com left intact

[Дмитрий]

AleksandrMalinovskiy,

< access-control-allow-methods: GET,PUT,PATCH,POST,DELETE
< access-control-max-age: 90

и где здесь Access-Control-Allow-Origin?

[Дмитрий]

AleksandrMalinovskiy, в самом cloudflare ничего не тыркали?

[AleksandrMalinovskiy]

Дмитрий, только защита от дедос атак
"и где здесь Access-Control-Allow-Origin?"
это бэк в nginx не прописана эта строка

[Дмитрий]

AleksandrMalinovskiy,
это бэк в nginx не прописана эта строка
не понял фразу.

[AleksandrMalinovskiy]

Дмитрий, вы спрашиваете "и где здесь Access-Control-Allow-Origin?" не могу ответить
скажу лишь данная строка у меня приписана в конфиге под доменом qa.bet.com что является фронтом
а я стучусь с локального фронта на бэк qa.com когда прописываю Access-Control-Allow-Origin' '*' то перестает работать бэк

[Дмитрий]

AleksandrMalinovskiy, пятница уже тяжело мне соображать. давайте я вам попробую упрощенную ситуацию для чего нужен CORS.
Представьте что я владелец очень посещяемого сайта и мне не нравитесь вы и ваш сайт. Вот невзлюбил я. Что я могу сделать - разместить у себя в коде сайта ajax запрос на ваш сайт. Соотвественно каждый заходящий на мой сайт (а он как мы помним очень посещаемый) будет отправлять аякс запрос на ваш сервер. ДДос атака со стоимостью 0 баксов - ибо это буду делать не я - а компы моих посетителей. Вот что бы этого не было - перед каждым аякс запросом браузер спрашивает у таргет сервера - а можно я к вам обращусь - ровно через options. В ответ он получает как можно обращаться "access-control-allow-methods: GET,PUT,PATCH,POST,DELETE" и кому можно обращаться "Access-Control-Allow-Origin" если он видит что то не совпадает - он говорит не будут обращаться к этому серверу.

Теперича - как вы думаете где надо размещать Access-Control-Allow-Origin?

[AleksandrMalinovskiy]

Дмитрий, у себя? что бы мой пк сделал запрос

[Дмитрий]

AleksandrMalinovskiy, нет. Ответ дать должен тот сервер который будет обрабатывать ваш запрос с фронта. То есть бэк. Пока фронт от бэка не получит разрешения - он запросы отправлять не будет.

[Дмитрий]

AleksandrMalinovskiy, насколько я вижу - вы запросы к бэку проксируете через локальный nginx. Вот здесь может порыться собака.

[AleksandrMalinovskiy]

Дмитрий, нашел где собака была зарыта
конфиг апп бэка
спасибо больше за помощь и информацию
хороших выходных

[Дмитрий]

AleksandrMalinovskiy, нзчт. и вам не хворать

Answer 1

[Егор Живагин]

Вы же явно разрешаете запросы только с qa.com - add_header 'Access-Control-Allow-Origin' 'qa.com';

Поставьте там "*" или поищите способы, как ставить этот заголовок для разных доменов

Comments

[AleksandrMalinovskiy]

дак строка add_header 'Access-Control-Allow-Origin' 'qa.com'; относится к фронту
а мне нужно на бэк стучатся так как фронт я развернул локально у себя

[Денис Юрьев]

AleksandrMalinovskiy, на бэк вы с фронта ж этого стучитесь?