Как устанить ошибку CORS?

Question

[Galdar Turin]

Вот скрипт JS

JS

var xhr = new XMLHttpRequest();

      var json = JSON.stringify(data);

      xhr.withCredentials = true;

      xhr.open('POST', 'https://dev.dev.ru/server/', true);
      
      xhr.setRequestHeader('Access-Control-Allow-Origin', "https://login.domain.ru/");
      xhr.setRequestHeader('Access-Control-Allow-Headers', 'origin, content-type, accept');
      xhr.setRequestHeader('Content-type', 'application/json; charset=utf-8');

      xhr.onreadystatechange = function() {
        if (this.readyState != 4) return;
      
        console.log( this.responseText );

        callback( this.responseText )
      }

      xhr.send(json);

Вот конфиг NGINX он установлен в location /server/

NGINX

if ($request_method = 'OPTIONS') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru/";
      
      #
      # Om nom nom cookies
      #

      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      
      #
      # Custom headers and headers various browsers *should* be OK with but aren't
      #

      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
      
      #
      # Tell client that this pre-flight info is valid for 20 days
      #

      add_header 'Access-Control-Max-Age' 1728000;
      add_header 'Content-Type' 'text/plain charset=UTF-8';
      add_header 'Content-Length' 0;

      return 204;
    }

    if ($request_method = 'POST') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru/";
      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

    }

    if ($request_method = 'GET') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru/";
      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

    }

Пишет ошибку что (Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на https://dev.dev.ru/server/. (Причина: заголовок CORS «Access-Control-Allow-Origin» не совпадает с «https://login.domain.ru/»).)

Что я неправильно делаю?

Answer 1

[Galdar Turin]

Разместил вне всех location

add_header 'Access-Control-Allow-Origin' 'https://domain.ru';
   add_header 'Access-Control-Allow-Credentials' 'true';
   add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken';
   add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';

Доп инфа, которая была очень полезна:
https://webdevblog.ru/chto-takoe-cors/
https://techfeed.net/240446/

Answer 2

[SagePtr]

Оригин без слэша в конце пишется, возможно, из-за него несовпадение

Comments

[Galdar Turin]

SagePtr, теперь пишет так
Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на https://dev.dev.ru/server/. (Причина: заголовок «access-control-allow-headers» не разрешён согласно заголовку «Access-Control-Allow-Headers» из ответа CORS preflight)

[SagePtr]

Galdar Turin, а в запросе самом какие заголовки отправляете?
UPD: А, вижу. Вот этого не надо клиентом отправлять:

xhr.setRequestHeader('Access-Control-Allow-Origin', "https://login.domain.ru/");
xhr.setRequestHeader('Access-Control-Allow-Headers', 'origin, content-type, accept');

Это заголовки ответа, а не запроса. А Origin он сам подставит.

[Galdar Turin]

SagePtr, ошибок от CORS стало меньше. До этого они дублировались, но я особо внимания не обращал.
Но все же пишет эту ошибку
Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на https://dev.dev.ru/server/. (Причина: отсутствует заголовок CORS «Access-Control-Allow-Origin»).

Я вот думаю, правильно ли я сделал что пишу CORS прием запроса в location server, а не в location /

NGINX

location ^~ /server/ {

    if ($request_method = 'OPTIONS') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru";
      
      #
      # Om nom nom cookies
      #

      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      
      #
      # Custom headers and headers various browsers *should* be OK with but aren't
      #

      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
      
      #
      # Tell client that this pre-flight info is valid for 20 days
      #

      add_header 'Access-Control-Max-Age' 1728000;
      add_header 'Content-Type' 'text/plain charset=UTF-8';
      add_header 'Content-Length' 0;

      return 204;
    }

    if ($request_method = 'POST') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru";
      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

    }

    if ($request_method = 'GET') {

      add_header 'Access-Control-Allow-Origin' "https://login.domain.ru";
      add_header 'Access-Control-Allow-Credentials' 'true';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';

    }

    rewrite ^/server/$ /app/server/server.php last;
  }

[SagePtr]

Galdar Turin, тут нужно в браузере в логах сетевых запросов смотреть, какие запросы с какими заголовками идут, может быть, какой-то заголовок не доходит до браузера, потому что чем-то перекрывается.

[Galdar Turin]

SagePtr,

spoiler

А ошибку так же пишет
Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на https://dev.telecomis.ru/amocrm_server/. (Причина: отсутствует заголовок CORS «Access-Control-Allow-Origin»).

[SagePtr]

Galdar Turin, на верхнем скриншоте не вижу заголовка Access-Control-Allow-Origin

[Galdar Turin]

SagePtr, OPTIONS - это я так понял сервер отдает. А POST это уже я отправляю. То есть получается сама веб станица не отправляет заголовок Access-Control-Allow-Origin в POST ?

Answer 3

[Илья]

Лучше всего почитать про CORS. Если не знать что делаешь, то это может создать огромную дыру, через которую можно будет делать много плохого.
Но если вы хотите просто попробовать, то добавить заголовки для https://dev.dev.ru.

add_header 'Access-Control-Allow-Origin' "https://dev.dev.ru"

Comments

[Ярослав Иванов]

через которую можно будет делать много плохого.

Например?

[Galdar Turin]

Ярослав Иванов, https://habr.com/ru/company/owasp/blog/337146/

[Ярослав Иванов]

Galdar Turin, мне статья не нужна. Вопрос был к автору ответа.