Как заставить Laravel отправлять правильные заголовки для CORS?

Question

[Роман]

Попробовал https://github.com/barryvdh/laravel-cors/ - но он как-то странно работает, то работает, то не работает, и я не могу ухватить - от чего это зависит, часа два грохнул на это.

Пытался и напрямую заголовки передать. Например:

return response()->json(['response' => 'no query given'])
        ->header('Access-Control-Allow-Origin', '*')
        ->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');

а оно все равно пишет в консоль браузера

No 'Access-Control-Allow-Origin' header

При том что Postman эти заголовки и видит и показывает. А Chrome их не видит. Как такое может быть?

В общем, какая-то фигня :(

Есть ли 100% метод, чтобы как-то это сделать и уже забыть про этот CORS как про страшный сон? :D

Спасибо.

Answer 1

[Александр Аксентьев]

barryvdh/laravel-cors решает это на 100% из коробки, даже настраивать ничего не надо.

Если он не помог значит вы что-то не так сделали.

No 'Access-Control-Allow-Origin' header

полный текст ошибки?

Какая версия laravel?
ServiceProvider прописан, если версия старая?
middleware от laravel-cors добавили к своим роутам?
Какой конфиг у laravel-cors?
Вы его создавали вообще? А изменяли?

Comments

[Роман]

Полный текст:

Access to XMLHttpRequest at 'https://autoapi.test/api/2/' from origin 'localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

Версия Laravel последняя (на днях установил) 6.0

barryvdh/laravel-cors установил по инструкции с Гитхаба

$ composer require barryvdh/laravel-cors

protected $middleware = [
    // ...
    \Barryvdh\Cors\HandleCors::class,
];

Больше ничего не добавлял и не менял.

А надо было?

Я же говорю: он ОТЧАСТИ решил проблему. То есть до него Api вообще никак не работало. А теперь оно не работает только в определенных участках кода. Например вот этот вывод:

return response('no query given', 200);

блокируется CORS, а вот этот - не блокируется:

return response('JUST RESPONSE', 200);

какая-то долбаная магия :(

[Александр Аксентьев]

Роман, ну вы же понимаете что от разного текста не может перестать работать сам CORS, так что явно не в этом дело.

попробуйте использовать response()->json() раз уж это апи.

А так всё равно ничего не понятно что может пойти не так.

Конфиг задеплойте в свою папку и посмотрите чтоб там были * везде где надо.

php artisan vendor:publish --provider="Barryvdh\Cors\ServiceProvider"

Проблема скорее всего в OPTIONS запросе, может быть вы роуты задаете как-нибудь так что все в свой контроллер тянете и CORS уходит мимо.

Answer 2

[Антон Антон]

Эти заголовки надо слать в ответ на метод options.