Как разрешить CORS запрос для API?

Question

Dos @pro-dev

Symfony

Как разрешить CORS запрос для API?

Привет! Почему то не получается отправить put запрос на сервер. Выходит такая ошибка:

OPTIONS 127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-... 405 (Method Not Allowed)

Access to XMLHttpRequest at '127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-...' from origin 'localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.

в index.php поместил такой код:

header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS");
header("Access-Control-Allow-Headers: Origin,Content-Type,Accept,Authorization");
header("Access-Control-Allow-Headers: *");

if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
    header("Access-Control-Allow-Origin: *");
    header("Access-Control-Allow-Credentials: true");
    header("Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS");
    header("Access-Control-Allow-Headers: Origin,Content-Type,Accept,Authorization");
    header("Content-Type: text/plain charset=UTF-8");
    header("Content-Length: 0");
}

но это не помогает... В чём может быть проблема? И как правильно разрешить ошибку с cors?

Вопрос задан более трёх лет назад
5159 просмотров

15 комментариев

Подписаться 1 Простой 15 комментариев

Ярослав @xenon

Тут, мне кажется, проблема не с CORS а с OPTIONS. Запрос на OPTIONS возможно не доходит от вебсервера до этого куска кода. Под каким вебсервером крутится это приложение? Может быть такое, что код исполняется только для методов GET/POST но не для OPTIONS?

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.

Написано более трёх лет назад
SagePtr @SagePtr

На Preflight-запросы, насколько помню, нельзя возвращать звёздочку в Access-Control-Allow-Origin, а нужно возвращать сам Origin. Возможно и ошибаюсь.

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

Ярослав Поляков,
Под каким вебсервером крутится это приложение?

Apache

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

Ответ прошёл вот такой. Хотя заголовки добавил все методы....
MacBook-Pro-Maksim:project-manager maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-...
HTTP/1.1 405 Method Not Allowed
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 02:01:56 +0000
Connection: close
X-Powered-By: PHP/7.1.23
Access-Control-Allow-Origin: *
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, private
Date: Fri, 15 Nov 2019 02:01:56 GMT
X-Debug-Token: de7df8
X-Debug-Token-Link: 127.0.0.1:8000/_profiler/de7df8
X-Robots-Tag: noindex
Allow: PUT
X-Previous-Debug-Token: f4b5a4

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.

Пока что мне нужно просто дать возможность всем. Это на локальном сервере. Когда буду выкладывать - укажу только свой. Хотя это API...)

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

SagePtr, можно. Звёздочка указывает на все. Но и тот вариант пробовал. Похоже дело не в этом. Или я что-то не понимаю)

Написано более трёх лет назад
SagePtr @SagePtr

pro-dev, в вашем варианте - Апач не разрешает вызывать с методом OPTIONS. Смотрите конфиги, чего вы в них накрутили. Или перед выводом заголовков в скрипте у вас что-то есть, что возвращает ошибку 405 и прекращает выполнение скрипта.

Написано более трёх лет назад
BoShurik @BoShurik Куратор тега Symfony

pro-dev, не пробовали nelmio/cors-bundle?

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

SagePtr, самое интересное, что ничего не делал там. максимум делаю htaccess. Но там ничего нет....

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

BoShurik, вот это не пробовал. А стоит его использовать? Попробую с ним, если больше ничего не остается, но почему вот в index файле не работает без компонентов

Написано более трёх лет назад
BoShurik @BoShurik Куратор тега Symfony

pro-dev, я использовал, проблем не было. Возможно действительно дело в конфиге веб-сервера

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

BoShurik, а в какую сторону смотреть хотя бы? Чтобы хоть запрос правильный в гугл вбить

Написано более трёх лет назад
BoShurik @BoShurik Куратор тега Symfony

pro-dev, попробуйте сначала с бандлом, он все-таки оттестирован на боевых проектах

Написано более трёх лет назад
SagePtr @SagePtr
pro-dev, можете попробовать на минимальном PHP-файле:
<?php header("X-Blablabla: " . $_SERVER['REQUEST_METHOD']); ?>

Сохранить его под отдельным именем на сервере и вызвать через curl -I -X OPTIONS http://домен/путь/к/файлу.php - если он вернёт заголовок X-Blablabla: OPTIONS - то до скриптов запросы доходят, если не вернёт - то отрубаются на стороне сервера.
Написано более трёх лет назад
Dos @pro-dev Автор вопроса

SagePtr,
MacBook-Pro-Maksim:public maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000
HTTP/1.1 200 OK
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 18:27:51 +0000
Connection: close
X-Powered-By: PHP/7.1.23
X-Blablabla: OPTIONS
Content-type: text/html; charset=UTF-8

Получается что-то с сервером? Где смотреть? Можете подсказать? Я вообще сервер запускаю от симфони. bin/console serve:run может быть в этом проблема? Что-то я не подумал об это

Написано более трёх лет назад
SagePtr @SagePtr

pro-dev, получается, до PHP всё же добирается, значит, на стороне симфони идёт обработка методов и выкидывание где-то ошибки 405, попробуйте бандл воткнуть, что BoShurik выше советует.

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

SagePtr, попробовал. Пока не получилось.
А может быть проблемой то, что я использую сервер симфони "symfony/web-server-bundle": "4.3.*",

Написано более трёх лет назад

Решения вопроса 1

4 комментария

Dos @pro-dev Автор вопроса

Да тут похоже не apache виноват. Я вообще запускаю сервер симфони server:run Не могу никак API связать с frontend для вставки

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

установил на Nginx ничего не поменялось))

Написано более трёх лет назад
Игорь @IgorPI

Вам нужно чтобы сервер обрабатывал корректно запрос с методом OPTIONS и отвечал 200/ok
Иначе всё напрасно.

У вас может быть всё настроено, а вот synfony косячит.
Дело в том, что synfony может например обработать запрос и отдать ответ с установленным статусом 405 (Method Not Allowed)
Попробуйте точку входа запуска synfony все закомментировать.

Написано более трёх лет назад
Dos @pro-dev Автор вопроса

Игорь, ковырял ковырял и что-то получилось))

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Symfony

Простой
Как в поле ChoiceType разрешить пользователю написать свой вариант?
- 1 подписчик
- 11 апр.
- 25 просмотров
1

ответ
PHP

+1 ещё

Простой
Как настроить symfony\messenger вне symfony?
- 2 подписчика
- 02 апр.
- 99 просмотров
1

ответ
PHP

+2 ещё

Средний
Какой аналог itemOperations в api-platform 3 версии?
- 1 подписчик
- 31 мар.
- 50 просмотров
1

ответ
Symfony

Простой
Как работать с slug в Symfony?
- 1 подписчик
- 24 мар.
- 236 просмотров
1

ответ
Symfony

Простой
Как установить symfony 5 на поддомен?
- 1 подписчик
- 22 мар.
- 46 просмотров
0

ответов
PHP

+2 ещё

Простой
Symfony OneToMany Fetch: Eager with ULID primary key?
- 1 подписчик
- 15 мар.
- 109 просмотров
1

ответ
Symfony

+1 ещё

Простой
При установке Symphony версия пакета выше, чем нужно: как исправить?
- 1 подписчик
- 10 мар.
- 109 просмотров
1

ответ
Парсинг

+1 ещё

Простой
Symfony HttpClient и Simple HTML DOM?
- 1 подписчик
- 08 мар.
- 37 просмотров
1

ответ
Symfony

Простой
Symfony каталог товаров с динамичной фильтрацией?
- 1 подписчик
- 06 мар.
- 76 просмотров
1

ответ
PHP

+2 ещё

Простой
Как правильно смапить PHP класс с Doctrine?
- 1 подписчик
- 02 мар.
- 131 просмотр
0

ответов
Показать ещё Загружается…

PHP/Symfony программист

Венста • Киров

от 220 000 ₽

PHP-разработчик (Symfony)

IRLIX

от 150 000 ₽

Senior Backend разработчик (PHP 8, Symfony 6, PostgreSQL)

TextMagic

от 5 000 $

Доработать телеграм бота

17 апр. 2024, в 00:31

1000 руб./за проект

Сделать картинки для слов

17 апр. 2024, в 00:13

800 руб./за проект

Разработка backend python+django

17 апр. 2024, в 00:06

240000 руб./за проект

Тут, мне кажется, проблема не с CORS а с OPTIONS. Запрос на OPTIONS возможно не доходит от вебсервера до этого куска кода. Под каким вебсервером крутится это приложение? Может быть такое, что код исполняется только для методов GET/POST но не для OPTIONS?

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.
На Preflight-запросы, насколько помню, нельзя возвращать звёздочку в Access-Control-Allow-Origin, а нужно возвращать сам Origin. Возможно и ошибаюсь.
Ярослав Поляков,
Под каким вебсервером крутится это приложение?

Apache

Попробуйте командой вроде:
curl -I -X OPTIONS https://mail.google.com/mail/
Только, естественно, с вашим адресом.

Ответ прошёл вот такой. Хотя заголовки добавил все методы....
MacBook-Pro-Maksim:project-manager maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000/api/events/1960aaeb-5c81-471a-bd3d-...
HTTP/1.1 405 Method Not Allowed
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 02:01:56 +0000
Connection: close
X-Powered-By: PHP/7.1.23
Access-Control-Allow-Origin: *
Content-Type: text/html; charset=UTF-8
Cache-Control: no-cache, private
Date: Fri, 15 Nov 2019 02:01:56 GMT
X-Debug-Token: de7df8
X-Debug-Token-Link: 127.0.0.1:8000/_profiler/de7df8
X-Robots-Tag: noindex
Allow: PUT
X-Previous-Debug-Token: f4b5a4

P.S.
CORS не просто так по дефолту запрещен, приложение возможно будет легко взломать через XSS атаку, если вы это разрешите.

Пока что мне нужно просто дать возможность всем. Это на локальном сервере. Когда буду выкладывать - укажу только свой. Хотя это API...)
SagePtr, можно. Звёздочка указывает на все. Но и тот вариант пробовал. Похоже дело не в этом. Или я что-то не понимаю)
pro-dev, в вашем варианте - Апач не разрешает вызывать с методом OPTIONS. Смотрите конфиги, чего вы в них накрутили. Или перед выводом заголовков в скрипте у вас что-то есть, что возвращает ошибку 405 и прекращает выполнение скрипта.
SagePtr, самое интересное, что ничего не делал там. максимум делаю htaccess. Но там ничего нет....
BoShurik, вот это не пробовал. А стоит его использовать? Попробую с ним, если больше ничего не остается, но почему вот в index файле не работает без компонентов
pro-dev, я использовал, проблем не было. Возможно действительно дело в конфиге веб-сервера
BoShurik, а в какую сторону смотреть хотя бы? Чтобы хоть запрос правильный в гугл вбить
pro-dev, попробуйте сначала с бандлом, он все-таки оттестирован на боевых проектах
pro-dev, можете попробовать на минимальном PHP-файле:
<?php header("X-Blablabla: " . $_SERVER['REQUEST_METHOD']); ?>

Сохранить его под отдельным именем на сервере и вызвать через curl -I -X OPTIONS http://домен/путь/к/файлу.php - если он вернёт заголовок X-Blablabla: OPTIONS - то до скриптов запросы доходят, если не вернёт - то отрубаются на стороне сервера.
SagePtr,
MacBook-Pro-Maksim:public maksimvorozcov$ curl -I -X OPTIONS 127.0.0.1:8000
HTTP/1.1 200 OK
Host: 127.0.0.1:8000
Date: Fri, 15 Nov 2019 18:27:51 +0000
Connection: close
X-Powered-By: PHP/7.1.23
X-Blablabla: OPTIONS
Content-type: text/html; charset=UTF-8

Получается что-то с сервером? Где смотреть? Можете подсказать? Я вообще сервер запускаю от симфони. bin/console serve:run может быть в этом проблема? Что-то я не подумал об это
pro-dev, получается, до PHP всё же добирается, значит, на стороне симфони идёт обработка методов и выкидывание где-то ошибки 405, попробуйте бандл воткнуть, что BoShurik выше советует.
SagePtr, попробовал. Пока не получилось.
А может быть проблемой то, что я использую сервер симфони "symfony/web-server-bundle": "4.3.*",

Answer 1 · 2019-11-16 00:12:56

Используйте Nginx, выкиньте Apache

server {
    listen                          80;

    client_max_body_size            208M;
    access_log                      /var/log/nginx/secure.access.log;
    error_log                       /var/log/nginx/secure.error.log error;

    root                            /www/public;

    add_header				        "Access-Control-Allow-Origin" "*";
    add_header				        "Access-Control-Allow-Headers" "Origin, X-Requested-With, Content-Type, Accept, Authorization";
    add_header				        "Access-Control-Request-Methods" "GET, POST, OPTIONS";

    location / {
        try_files                   $uri $uri/ /secure.php?$query_string;
    }

    location ~ \.php$ {
        fastcgi_split_path_info     ^(.+\.php)(/.+)$;
        fastcgi_pass                app:9000;
        fastcgi_index               secure.php;
        include                     fastcgi_params;
        fastcgi_param               SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param               PATH_INFO $fastcgi_path_info;
    }
}

Answer 2 · 2020-05-21 13:23:40

Можно создать 2 EventSubscriber'а

На запрос:

// ...
class RequestSubscriber implements EventSubscriberInterface {

	public function onRequestEvent(RequestEvent $event) {
		if($event->getRequest()->getMethod() === 'OPTIONS') {
			$response = new Response(null);
			$event->setResponse($response);
		} 
	}

	public static function getSubscribedEvents() {
		return [RequestEvent::class => ['onRequestEvent', 5000]];
	}

}

И на ответ:

// ...
class ResponseSubscriber implements EventSubscriberInterface {

	public function onResponseEvent(ResponseEvent $event) {
		$headers = $event->getResponse()->headers;
		$headers->set('Access-Control-Allow-Origin', '*');
		if($event->getRequest()->getMethod() === 'OPTIONS') {
			$headers->set('Access-Control-Allow-Methods', 'POST, GET, OPTIONS');
			$headers->set('Access-Control-Allow-Headers', 'Authorization, Content-Type, Accept');
			$headers->set('Access-Control-Allow-Credentials', 'true');
			$headers->set('Access-Control-Max-Age', '1728000');
			$headers->set('Cache-Control', 'no-cache, must-revalidate');
		}
	}

	public static function getSubscribedEvents() {
		return [ResponseEvent::class => 'onResponseEvent'];
	}

}

Как разрешить CORS запрос для API?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт