Как перезапустить OpenServer удаленно обычным GET-запросом?

Question

[Надим]

У меня практически готово решение, но возникло небольшое затруднение.

Я знаю, что у OpenServer есть веб-морда:

Для перезапуска достаточно перейти в по ссылке такого типа:
localhost:1515/restart
Для подтверждения прав, там используется авторизация Basic Authentication.

Соответственно, мне ничто не мешает просто удаленно сделать GET-запрос на мой сервер с нужными заголовками:

jQuery.ajax({
	url: 'http://123.123.123.123:1515/restart',
	headers: {
		'Authorization': 'Basic ' + btoa('admin:admin')
	},
	success: function(response){
		console.log(response);
	},
	error: function(obj) {
		alert('Ошибка!');
	}
});

Но увы, мешает долбанный CORS! Я банально не могу сделать этот самый GET-запрос с чужого домена, а мне как раз и надо с чужого! В общем, подскажите пожалуйста, какой файл в OpenServer отвечает за показ веб-морды? Где я должен вписывать разрежающие заголовки для веб-морды?

<?php header('Access-Control-Allow-Origin: *');

Comments

[Ярослав Иванов]

1) GET-ом получают а не модифицируют состояние сервера. POST-ом
2) CORS это политика безопасности. Отключите ее на стороне сервера.
https://ospanel.io/forum/viewtopic.php?t=3024

[Надим]

Ярослав Иванов, но-но. Мне не надо отключать CORS для самого сервера, мне надо добавить заголовок Access-Control-Allow-Origin конкретно для веб-морды.

Answer 1

[Надим]

Блин, надо было почитать сначала, как работает Basic Auth. Решение оказалось на удивление простым, если я хочу удаленно перезапустить сервер, то инициировать нужный запрос НЕ с родного домена можно вот так:

open_server_restart_window = window.open('');
open_server_restart_window.location.href = 'http://login:password@localhost:1515/restart';
setTimeout(function() { open_server_restart_window.close(); }, 3000);

По аналогичному принципу можно сгенерировать iframe и использовать внутри него форму для переадресации. Само с собой надо заменить логин, пароль и адрес сервера в ссылке на свои. При таком запросе CORS никак не мешает, а сигнал на перезапуск вполне себе доходит до сервака и прекрасно работает.

Answer 2

[SagePtr]

Если на том же сервере есть PHP, то что мешает скрипт написать, который будет дёргать нужный внутренний URL curl'ом?

Comments

[Надим]

Проблема в том, что из-за высокой нагрузки мой PHP на серваке падает стабильно раз в день и помогает только перезагрузка сервера. Само с собой, при сдохнувшем php ничего я дернуть не могу) Сейчас я перезагружаю сервер батником и схема удаленного запуска батника у меня получилась не очень элегентной, хочу вот вариант с GET-запросом опробовать, осталось только понять, где CORS для морды надо прописывать.

[Даша Циклаури]

Надим Закиров, так если php сервер сдох, кто будет обрабатывать get?

[Надим]

Даша Циклаури, так веб-морда по идее должна работать независимо от основного сервера, иначе какой в нем нахрен смысл?

[SagePtr]

Надим Закиров, падает только PHP, nginx при этом не падает? Тогда можно за nginx проксировать через proxy_pass, а в nginx уже возвращать нужные заголовки и скрывать "ненужные".

[Надим]

SagePtr, да падает только PHP. И ваш вариант слишком уж мудреный, плюс, не забываем, что надо будет заморочиться еще с Basic Authentication, без авторизации перезапуска не будет.

[SagePtr]

Надим Закиров, тогда - никак, ajax'ом не всегда возможно передать что попало куда попало, в случае с дополнительными заголовками (кроме нескольких разрешённых) - принимающая сторона должна правильно обработать preflight-запрос (метод OPTIONS), чтобы браузер отправил сам запрос.
Одним заголовком Access-Control-Allow-Origin тут не обойтись.

[Надим]

SagePtr, в смысле не обойтись? Как раз таки мне достаточно прописать один этот заголовок и все у меня заработает как надо. Я уже проверил все, сделав запрос с игнорированием CORS, все норм перезапускается. Осталось только понять, где вывод веб-морды генерируется.

[Kovalsky]

Надим Закиров, а при чем тут веб морда? Заголовки то вам придут от АПИ, а не от сервера морды. Хотя ниже уже предложили решение

[Надим]

Kovalsky, в смысле от API? Там нет никакого API, просто три страницы при обращении к которым сервер выполняет три разных зашитых действия. Заголовки отдает при этом как раз таки сервер веб-морды и их вполне может подредактировать, по другому и быть не может.

[Kovalsky]

Надим Закиров, ну да, раз так, то вполне возможно что и сервер этим управляет. Просто давно я не видел чтоб управление чем-то важным происходило в виде побочного эффекта при загрузке страницы, это что-то очень древнее и пхпшное, поэтому сразу предположил что речь об апи,

[SagePtr]

Надим Закиров, потому что "запрос с игнорированием CORS" по определению минует стадию Preflight. Обычным браузером с обычными настройками (безо всяких флагов игнорирования безопасности) такой запрос не сделать, иначе это была бы огромнейшая дыра.
Заголовок "Access-Control-Allow-Origin" приходит уже ПОСЛЕ того, как запрос выполнен и обработан, он всего лишь показывает браузеру, допустимо ли использовать ответ на этот запрос, или стоит его отбросить как нарушающий политику CORS, чтобы чужой сайт не получил доступ к ответу, который ему не предназначен.
https://developer.mozilla.org/ru/docs/Web/HTTP/CORS
Пробросить кросс-доменно заголовок Authorization, минуя CORS Preflight, стандартными методами невозможно.

[SagePtr]

Надим Закиров, можно подредактировать, дизассемблер в зубы и добавляйте, этот функционал вшит в Open Server.exe. И исходных кодов, чтобы там поправить и пересобрать, нет, автор упоминал, что потерял исходники.

[Надим]

SagePtr, но я и не буду использовать стандартные. Раз чисто возможностями браузера не получилось, просто на одном из своих сторонних сайтов создам php-файл, который и будет проксировать запросы с добавлением нужного мне Access-Control-Allow-Origin. Решение мне это не нравится, но видимо по другому я не сделаю, раз уж настройки в экзешник зашиты.

P. S. Нашел решение попроще, все норм)

Answer 3

[Антон]

Вариант с консольной командной Вам не подходит? Например:

curl -v -X GET -H "Authorization: Basic TOKEN" "Content-Type: application/json" "http://123.123.123.123:1515/restart"

Где TOKEN = значение из Вашего примера: btoa('admin:admin')

Comments

[Надим]

У меня сейчас и так реализован вариант с консольной командой, но он мне не нравится, хочу именно AJAX-ом дистанционно перезапускать.

[Антон]

Надим Закиров, если не секрет, то почему именно Ajax, Может, Вы сейчас объясните, а в итоге окажется, что вариант с консолью не такой уж и плохой, а элегантный :)

[Надим]

Антон Алексеевич, сейчас у меня сделано как. Если сервер заглох, то браузер автоматом (без участия пользователя) открывает ссылку такого типа: proxyrestart://1
У меня в системе зарегистрирован этот протокол таким образом, что при открытии данного URL в браузере, автоматически запускается мой bat-файл, который в свою очередь перезапускает сервер.

Мне этот вариант не нравится потому, что работает корректно это только в браузере Opera, так как только он умеет запускать внешние программы без дополнительных запросов пользователю, из разряда, а вы действительно хотите запустить внешнюю программу? Хотелось бы конечно, что бы со всех браузеров работало без спроса. Вариант с GET-запросом мне кажется наиболее простым, мне всего то надо найти файл отвечающий за генерацию html-кода веб-морды и дописать там ровно один заголовок, после чего все заработает как мне надо.

[Антон]

Надим Закиров, я поискал во всей папке OpenServer'а (поиск по внутренностям файлов). Я нашёл только xml файлы с переводом этой панели управления, но самого html-файла нигде нет. Вероятно, это вшито в exe-шник. Попробуйте связаться с командой, которая занимается разработкой и поддержкой этого сервера на их форуме.

[Надим]

Антон Алексеевич, написал им на форум, надеюсь кто-нибудь да откликнется)

[Антон]

Надим Закиров, только что наткнулся на такую тему - Ссылка
Я оказался прав :) Видимо, придётся Вам использовать консольную команду всё-таки.

[Надим]

Антон Алексеевич, хрен там плавал. Я в крайнем случае уж просто буду использовать дополнительный внешний прокси, чтобы подменить заголовок. Решение так себе, но все равно лучше, чем все делать через консоль и батники.

P. S. Нашел рабочее решение) Но за советы все равно спасибо.