Исправить ошибку cors, используя nginx на стороне клиента?

Question

[Денис Крылов]

Добрый день.
Есть определенный закрытый сайт ,используемый в наших магазинах, хостинг которого расположен за пределами локальной сети и имеются видеорегистраторы которые естественно расположены в локальной сети. Пытаюсь реализовать задачу: при совершении определенных действий на сайте - на видеорегистратор отправляется специальный xml файл

function sendNVR()
	{
var xml = 
"<?xml version: '1.0' encoding='utf-8'?><VideoOverlay><normalizedScreenSize><normalizedScreenWidth>704</normalizedScreenWidth>                <normalizedScreenHeight>576</normalizedScreenHeight></normalizedScreenSize><attribute><transparent>false</transparent>        <flashing>false</flashing></attribute><fontSize>1</fontSize><TextOverlayList><TextOverlay><id>1</id><enabled>true</enabled><displayText>text1</displayText><positionX>20</positionX><positionY>500</positionY></TextOverlay><TextOverlay><id>2</id><enabled>true</enabled><displayText>text2</displayText></TextOverlay></TextOverlayList></VideoOverlay>";
var xhr = new XMLHttpRequest();
		xhr.open("PUT", 'http://admin:password@192.168.1.2/ISAPI/System/Video/inputs/channels/1/overlays', true);

.
Уперся в ошибку CORS: "...has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource."

Для себя вижу решение добавлять недостающий заголовок с помощью Ngnix. Двухдневный мониторинг интернета выдал кучу вариантов этого варианта, но с использованием на стороне сервера. Так как я в ngnix не силен, не подскажет ли кто как это реализовать используя ngnix на стороне клиента использующего этот сайт? Различные расширения для хрома не помогли.

Comments

[Денис Крылов]

В интернете нашел вот такой конфиг:

server {
  listen        80;
  server_name   api.test.com;


  location / {

    # Simple requests
    if ($request_method ~* "(GET|POST)") {
      add_header "Access-Control-Allow-Origin"  *;
    }

    # Preflighted requests
    if ($request_method = OPTIONS ) {
      add_header "Access-Control-Allow-Origin"  *;
      add_header "Access-Control-Allow-Methods" "GET, POST, OPTIONS, HEAD";
      add_header "Access-Control-Allow-Headers" "Authorization, Origin, X-Requested-With, Content-Type, Accept";
      return 200;
    }

    ....
    # Handle request
    ....
  }
}

Но не пойму как его настроить на использование под мой случай.

Answer 1

[Сергей Соколов]

Может на сайте сделаете какой-нибудь URL, который будет отдавать правильные CORS заголовки, и принимать XML, который тут же, уже с сервера (которому не важны CORS'ы), уйдёт на видеорегистраторы.

Comments

[Денис Крылов]

Если я правильно понял то, что Вы предложили - то думаю не получится сервер то находится в облаке, а регистраторы в локалке. Соответственно, сервер не может ничего отправить на регистраторы. Можно было бы забив на безопасность открыть доступ извне на регистраторы, но не везде есть белый IP.

[Сергей Соколов]

Денис Крылов, можно ли поднять один слабый сервер в локалке?

[Денис Крылов]

Поднять можно, все компы на ubuntu, также можно использовать opkg на роутере.

[Сергей Соколов]

Денис Крылов, как вам вариант открыть извне только порт на этот маленький сервер, на котором будет URL, принимающий XML и отдающий CORS заголовки, и передающий XML уже на регистраторы? Что-то типа API.

[Денис Крылов]

И опять уперлись в отсутствие белых IP

[Сергей Соколов]

Денис Крылов, белый нужен только 1, для этого мини-API-сервера. Он принимает снаружи с облачного веб-сервера или напрямую с клиентов запросы, и перенаправляет их на регистраторы по их внутренним IP. Можно не хранить и не передавать их логины-пароли, а держать их только вэтом мини-сервере. В общем, сделать что-то типа API.

[Денис Крылов]

Ну допустим что сделаем. И опять мы на сервере запускаем ngnix?

[Сергей Соколов]

Денис Крылов, да. И там для CORS-заголовков (если не передумали слать логин-пароль прямо с клиента) что-то типа такого добавьте в location / :

spoiler

if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            #
            # Custom headers and headers various browsers *should* be OK with but aren't
            #
            add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
            #
            # Tell client that this pre-flight info is valid for 20 days
            #
            add_header 'Access-Control-Max-Age' 1728000;
            add_header 'Content-Type' 'text/plain; charset=utf-8';
            add_header 'Content-Length' 0;
            return 204;
        }

        if ($request_method = 'POST') {
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
            add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
        }

        if ($request_method = 'GET') {
            add_header 'Access-Control-Allow-Origin' '*';
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
            add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
        }

[Денис Крылов]

Так а смысл тогда делать еще один сервер, если можно настроить перехват на клиентской машине? Вопрос в том что нужен человек который знает как настроить ngnix.

[Сергей Соколов]

Денис Крылов, клиентская только одна разве?

[Денис Крылов]

по одной в магазине.

[Сергей Соколов]

Денис Крылов, имхо так-себе план в каждом магазине устанавливать nginx, чтобы обойти ограничения CORS.
Правильнее таки сделать единый endpoint.

[Денис Крылов]

Установить nginx пару команд, конфиг файл будет один на всех. Сложностей не вижу. А вот сервак держать с вероятностью потерять до него линк тоже так себе идея.