Как разрешить CORS запрос для API?

Question

[Dos]

Привет! Почему то не получается отправить put запрос на сервер. Выходит такая ошибка:

OPTIONS 127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-... 405 (Method Not Allowed)

Access to XMLHttpRequest at '127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-...' from origin 'localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

в index.php поместил такой код:

header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS");
header("Access-Control-Allow-Headers: Origin,Content-Type,Accept,Authorization");
header("Access-Control-Allow-Headers: *");

if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
    header("Access-Control-Allow-Origin: *");
    header("Access-Control-Allow-Credentials: true");
    header("Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS");
    header("Access-Control-Allow-Headers: Origin,Content-Type,Accept,Authorization");
    header("Content-Type: text/plain charset=UTF-8");
    header("Content-Length: 0");
}

но это не помогает... В чём может быть проблема? И как правильно разрешить ошибку с cors?

Comments

[Ярослав]

Тут, мне кажется, проблема не с CORS а с OPTIONS. Запрос на OPTIONS возможно не доходит от вебсервера до этого куска кода. Под каким вебсервером крутится это приложение? Может быть такое, что код исполняется только для методов GET/POST но не для OPTIONS?

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.

[SagePtr]

На Preflight-запросы, насколько помню, нельзя возвращать звёздочку в Access-Control-Allow-Origin, а нужно возвращать сам Origin. Возможно и ошибаюсь.

[Dos]

Ярослав Поляков,

Под каким вебсервером крутится это приложение?

Apache

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

Ответ прошёл вот такой. Хотя заголовки добавил все методы....

MacBook-Pro-Maksim:project-manager maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-...
HTTP/1.1 405 Method Not Allowed
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 02:01:56 +0000
Connection: close
X-Powered-By: PHP/7.1.23
Access-Control-Allow-Origin: *
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, private
Date: Fri, 15 Nov 2019 02:01:56 GMT
X-Debug-Token: de7df8
X-Debug-Token-Link: 127.0.0.1:8000/_profiler/de7df8
X-Robots-Tag: noindex
Allow: PUT
X-Previous-Debug-Token: f4b5a4

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.

Пока что мне нужно просто дать возможность всем. Это на локальном сервере. Когда буду выкладывать - укажу только свой. Хотя это API...)

[Dos]

SagePtr, можно. Звёздочка указывает на все. Но и тот вариант пробовал. Похоже дело не в этом. Или я что-то не понимаю)

[SagePtr]

pro-dev, в вашем варианте - Апач не разрешает вызывать с методом OPTIONS. Смотрите конфиги, чего вы в них накрутили. Или перед выводом заголовков в скрипте у вас что-то есть, что возвращает ошибку 405 и прекращает выполнение скрипта.

[BoShurik]

pro-dev, не пробовали nelmio/cors-bundle?

[Dos]

SagePtr, самое интересное, что ничего не делал там. максимум делаю htaccess. Но там ничего нет....

[Dos]

BoShurik, вот это не пробовал. А стоит его использовать? Попробую с ним, если больше ничего не остается, но почему вот в index файле не работает без компонентов

[BoShurik]

pro-dev, я использовал, проблем не было. Возможно действительно дело в конфиге веб-сервера

[Dos]

BoShurik, а в какую сторону смотреть хотя бы? Чтобы хоть запрос правильный в гугл вбить

[BoShurik]

pro-dev, попробуйте сначала с бандлом, он все-таки оттестирован на боевых проектах

[SagePtr]

pro-dev, можете попробовать на минимальном PHP-файле:

<?php header("X-Blablabla: " . $_SERVER['REQUEST_METHOD']); ?>

Сохранить его под отдельным именем на сервере и вызвать через curl -I -X OPTIONS http://домен/путь/к/файлу.php - если он вернёт заголовок X-Blablabla: OPTIONS - то до скриптов запросы доходят, если не вернёт - то отрубаются на стороне сервера.

[Dos]

SagePtr,

MacBook-Pro-Maksim:public maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000
HTTP/1.1 200 OK
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 18:27:51 +0000
Connection: close
X-Powered-By: PHP/7.1.23
X-Blablabla: OPTIONS
Content-type: text/html; charset=UTF-8

Получается что-то с сервером? Где смотреть? Можете подсказать? Я вообще сервер запускаю от симфони. bin/console serve:run может быть в этом проблема? Что-то я не подумал об это

[SagePtr]

pro-dev, получается, до PHP всё же добирается, значит, на стороне симфони идёт обработка методов и выкидывание где-то ошибки 405, попробуйте бандл воткнуть, что BoShurik выше советует.

[Dos]

SagePtr, попробовал. Пока не получилось.
А может быть проблемой то, что я использую сервер симфони "symfony/web-server-bundle": "4.3.*",

Answer 1

[Игорь]

Используйте Nginx, выкиньте Apache

server {
    listen                          80;

    client_max_body_size            208M;
    access_log                      /var/log/nginx/secure.access.log;
    error_log                       /var/log/nginx/secure.error.log error;

    root                            /www/public;

    add_header				        "Access-Control-Allow-Origin" "*";
    add_header				        "Access-Control-Allow-Headers" "Origin, X-Requested-With, Content-Type, Accept, Authorization";
    add_header				        "Access-Control-Request-Methods" "GET, POST, OPTIONS";

    location / {
        try_files                   $uri $uri/ /secure.php?$query_string;
    }

    location ~ \.php$ {
        fastcgi_split_path_info     ^(.+\.php)(/.+)$;
        fastcgi_pass                app:9000;
        fastcgi_index               secure.php;
        include                     fastcgi_params;
        fastcgi_param               SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param               PATH_INFO $fastcgi_path_info;
    }
}

Comments

[Dos]

Да тут похоже не apache виноват. Я вообще запускаю сервер симфони server:run Не могу никак API связать с frontend для вставки

[Dos]

установил на Nginx ничего не поменялось))

[Игорь]

Вам нужно чтобы сервер обрабатывал корректно запрос с методом OPTIONS и отвечал 200/ok
Иначе всё напрасно.

У вас может быть всё настроено, а вот synfony косячит.
Дело в том, что synfony может например обработать запрос и отдать ответ с установленным статусом 405 (Method Not Allowed)
Попробуйте точку входа запуска synfony все закомментировать.

[Dos]

Игорь, ковырял ковырял и что-то получилось))

Answer 2

[Евгений]

Можно создать 2 EventSubscriber'а

На запрос:

// ...
class RequestSubscriber implements EventSubscriberInterface {

	public function onRequestEvent(RequestEvent $event) {
		if($event->getRequest()->getMethod() === 'OPTIONS') {
			$response = new Response(null);
			$event->setResponse($response);
		} 
	}

	public static function getSubscribedEvents() {
		return [RequestEvent::class => ['onRequestEvent', 5000]];
	}

}

И на ответ:

// ...
class ResponseSubscriber implements EventSubscriberInterface {

	public function onResponseEvent(ResponseEvent $event) {
		$headers = $event->getResponse()->headers;
		$headers->set('Access-Control-Allow-Origin', '*');
		if($event->getRequest()->getMethod() === 'OPTIONS') {
			$headers->set('Access-Control-Allow-Methods', 'POST, GET, OPTIONS');
			$headers->set('Access-Control-Allow-Headers', 'Authorization, Content-Type, Accept');
			$headers->set('Access-Control-Allow-Credentials', 'true');
			$headers->set('Access-Control-Max-Age', '1728000');
			$headers->set('Cache-Control', 'no-cache, must-revalidate');
		}
	}

	public static function getSubscribedEvents() {
		return [ResponseEvent::class => 'onResponseEvent'];
	}

}