La SCRO - Comment faire "contrôle en amont" une httprequest?

Je suis en train de faire une croix domaine de la requête HTTP de service WCF (que je possède). J'ai lu plusieurs techniques pour travailler avec le cross domain scripting limites. Parce que mon service doit accueillir à la fois GET et POST demandes je ne peut pas mettre en œuvre certaines dynamiques balise de script dont le src est l'URL d'une requête GET. Depuis que je suis libre de faire des changements sur le serveur j'ai commencé à essayer de mettre en œuvre une solution de contournement consiste à configurer le serveur réponses à inclure le "Access-Control-Allow-Origin" en-tête et de contrôle les demandes de avec et OPTIONS de demande. J'ai eu l'idée de ce post : L'obtention de la SCRO de travail

Sur le côté serveur, ma méthode web est l'ajout de 'Access-Control-Allow-Origin: *' à la réponse HTTP. Je vois que les réponses ne comprennent cet en-tête maintenant. Ma question est: Comment puis-je "contrôle en amont" une demande (OPTIONS)? Je suis à l'aide de jQuery.getJSON pour faire la demande, mais le navigateur annule la demande tout de suite avec le tristement célèbre:

Origine http://localhost n'est pas autorisé par Access-Control-Allow-Origin

Est quiconque est familier avec cette technique de la SCRO? Quels changements doivent être apportés au client en amont de ma demande?

Merci!

InformationsquelleAutor Nick | 2011-12-31
  1. 147

    Lors de la demande de contrôle en amont, vous devriez voir les deux en-têtes de: Contrôle d'Accès-à la Demande de la Méthode et de Contrôle d'Accès-Request-Headers. Ces en-têtes de requête demandez au serveur pour les autorisations pour faire la demande réelle. Votre contrôle en amont de la réponse doit reconnaître ces en-têtes pour que la demande réelle de travail.

    Par exemple, supposons que le navigateur fait une requête avec les en-têtes suivants:

    Origin: http://yourdomain.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-Custom-Header

    Votre serveur devrait alors répondre avec les en-têtes suivants:

    Access-Control-Allow-Origin: http://yourdomain.com
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: X-Custom-Header

    Accorder une attention particulière à l'Access-Control-Allow-en-tête en-tête de réponse. La valeur de cet en-tête doit être le même en-têtes dans le Contrôle d'Accès-Request-Headers-tête de la requête, et il ne peut pas être '*'.

    Une fois que vous envoyer cette réponse à la demande de contrôle en amont, le navigateur va faire la demande réelle. Vous pouvez en apprendre plus sur la SCRO ici: http://www.html5rocks.com/en/tutorials/cors/

    • pourriez-vous ajouter plusieurs domaines à Access-Control-Allow-Origin?
    • Vous avez probablement travaillé cela en maintenant, mais dans le cas où d'autres se demandent peut faire Access-Control-Allow-Origin: *
    • - Je peut-être raté quelque chose. Donc dois-je envoyer deux demandes XMLHttp? L'un pour le contrôle en amont; vérifier la réponse sur la réussite et ensuite envoyer la requête réelle?
    • vous n'avez pas besoin de vous soucier de l'envoi de la demande de contrôle en amont. Si la demande a besoin d'un contrôle en amont, le navigateur va envoyer pour vous.
    • MERCI pour la "une attention particulière" bit... qui a résolu mon problème avec node/expressjs j'ai été en mesure d'ajouter un filtre pour attraper ces de contrôle en amont des demandes de //cors and preflight filtering app.all('*', function(req, res, next){.. //preflight needs to return exact request-header res.set('Access-Control-Allow-Headers', req.headers['access-control-request-headers']); if ('OPTIONS' == req.method) return res.send(204);next(); });
    • Désolé , un peu en retard , Mais la Croix de domaine, serveur, je suis en train d'essayer d'accéder fonctionne très bien lorsque je tente un client Soap comme boomerang , Mais ne marche pas quand j'essaie de localhost . Pourquoi est-ce ?
    • C'est ce que je cherchais. Merci pour cette explication lucide
    • pas seulement le serveur de vérifier la Origin/Referer header? En fait, le serveur va avoir à faire de toute façon, quel est donc le point de ces des en-têtes supplémentaires?
    • Belle Réponse. L'utilisation de ce j'ai résolu mon problème

    InformationsquelleAutor monsur
  2. 0

    Bien que ce fil remonte à 2014, la question peut encore être d'actualité pour beaucoup d'entre nous. Voici comment j'ai traité dans un jQuery 1.12 /PHP 5.6 contexte:

    • jQuery envoyé sa demande XHR en utilisant seulement limitée en-têtes, seulement "Origine" a été envoyé.
    • Aucune demande de contrôle en amont est nécessaire.
    • Le serveur n'avait qu'à détecter une telle demande, et ajouter le "Access-Control-Allow-Origin:" . $_SERVER['HTTP_ORIGIN'] en-tête, après avoir détecté que c'était un cross-origin XHR.

    PHP exemple de Code:

    if (!empty($_SERVER['HTTP_ORIGIN'])) {
    //Uh oh, this XHR comes from outer space...
    //Use this opportunity to filter out referers that shouldn't be allowed to see this request
    if (!preg_match('@\.partner\.domain\.net$@'))
        die("End of the road if you're not my business partner.");

    //otherwise oblige
    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN']);
}
else {
    //local request, no need to send a specific header for CORS
}

    En particulier, ne pas ajouter une exit; comme aucun contrôle en amont est nécessaire.

    InformationsquelleAutor Fabien Haddadi