Как разрешить браузеру получать ответы 400 и т.п. через CORS?

Question

[Дмитрий Сергеев]

Настроил CORS все работает. Однако мне нужно показывать ошибки заполненной формы в SPA мне нужен ответ сервера со статусом 400.
Браузер отдает XMLHttpRequest cannot load localhost/clients. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'localhost' is therefore not allowed access. The response had HTTP status code 400.

Nginx.conf

location / {
		if ($request_method = 'OPTIONS') {
			add_header 'Access-Control-Allow-Origin' 'http://localhost';
			add_header 'Access-Control-Allow-Credentials' 'true';
			add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, OPTIONS';

			add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Pragma,Authorization';
			add_header 'Access-Control-Max-Age' 1728000;
			add_header 'Content-Type' 'text/plain charset=UTF-8';
			add_header 'Content-Length' 0;
			return 204;
		}
		if ($request_method = 'POST') {
			add_header 'Access-Control-Allow-Origin' 'http://localhost';
			add_header 'Access-Control-Allow-Credentials' 'true';
			add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, OPTIONS';
			add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Pragma,Authorization';
		}
		if ($request_method = 'GET') {
			add_header 'Access-Control-Allow-Origin' 'http://localhost';
			add_header 'Access-Control-Allow-Credentials' 'true';
			add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, OPTIONS';
			add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Pragma,Authorization';
		}

Заранее спасибо!

Answer 1

[Дмитрий Сергеев]

Решил проблему пересборкрй Nginx с установкой модуля headers-more-nginx-module.
Nginx.conf

location / {
		#
		if ($request_method = 'PUT') {
			more_set_headers    "Access-Control-Allow-Origin: http://localhost";
			more_set_headers    "Access-Control-Allow-Credentials: true";
			more_set_headers    "Access-Control-Allow-Methods: GET, POST, PUT, OPTIONS";
			more_set_headers    "Access-Control-Allow-Headers: DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Pragma,Authorization";
		}
		#
	}

Comments

[Lynn «Кофеман»]

У новых nginx есть флаг always директивы add_header

[Дмитрий Сергеев]

Алексей Тен: А подробнее можно?

[Lynn «Кофеман»]

Дмитрий: nginx.org/ru/docs/http/ngx_http_headers_module.htm...

Если указан параметр always (1.7.5), то поле заголовка будет добавлено независимо от кода ответа.

Answer 2

[Никита Баев]

Проще сделать Access-Control-Allow-Origin для всех через * и не забыть убрать это, когда код пойдёт на продакшн.
Ещё можно запустить Chrome в режиме выключения web security с помощью --disable-web-security.

Comments

[Дмитрий Сергеев]

Когда ставлю так Access-Control-Allow-Origin *, то приходится отключать и 'Access-Control-Allow-Credentials', а тогда и заголовок Authorization не отсылается.

[Никита Баев]

Дмитрий: решается отключением web-security, тоже с такой проблемой сталкивался, но лучшего решения не нашёл.

[Дмитрий Сергеев]

Никита Баев: Но на продакшене, тоже просить всех отключать это?

[Никита Баев]

Дмитрий: на продакшне и не должно быть такой проблемы же.