La SCRO demande avec IE11

J'ai un CORS (cross origin resource sharing) demande à venir de ma page de connexion à l'application, sur une URL différente. J'ai une page simple je ping pour déterminer si un utilisateur est déjà connecté, et si oui, à les rediriger. Sinon, je montre une page de connexion. J'utilise jQuery.

Cela fonctionne très bien dans safari, chrome, firefox... et pas IE (naturellement). Selon MME, IE 10 et les versions ultérieures devraient soutenir La SCRO demandes avec withCredentials

Je suis en utilisant jquery-2.0.3.min.js

Des idées pourquoi ce n'est pas au travail IE11?

EDIT: Il semble que c'EST en partie de travail, comme il est maintenant de retour d'une valeur de {"id":false}. Cela se produit à chaque fois, ce qui signifie que le serveur n'est jamais obtenir les informations d'identification. Je suis également l'affichage de mon is_logged_in page, je suis en utilisant le code de l'allumeur cadre.

EDIT: Après l'activation de "Permettre à des sources de données sur plusieurs domaines" sous IE les paramètres de sécurité, je ne plus recevoir les messages d'erreur.

L'erreur exacte que je reçois est:

SEC7118: XMLHttpRequest pour http://mysite.net/guest/is_logged_in nécessaire de la Croix-Origin Resource sharing (SCRO).

$.ajax({
url: 'http://mysite.net/guest/is_logged_in',
type: 'POST',
crossDomain: true,
xhrFields: {
       withCredentials: true
  },

dataType: 'json',
success: function(data) {

    if(data.id) {
        window.location.replace("http://mysite.net");
    }
}
});

et

public function is_logged_in()
{
    $allowed = array(
        'http://mysite.net',
        'http://www.mysite.net',
        'http://www.mysite.com',
    );

    $url = $_SERVER['HTTP_REFERER'];
    $url = substr($url, 0, strpos($url, '/', 8));
    if(isset($_SERVER['HTTP_ORIGIN']))
    {
        if(in_array($_SERVER['HTTP_ORIGIN'], $allowed))
        {
            $this->output->set_header('Access-Control-Allow-Origin: ' . $_SERVER['HTTP_ORIGIN']);
        }
    }
    else
    {
        if(in_array($url, $allowed))
        {
            $this->output->set_header('Access-Control-Allow-Origin: ' . $url);
        }
    }


    $this->output->set_header('Access-Control-Allow-Headers: X-Requested-With');
    $this->output->set_header('Access-Control-Allow-Credentials: true');
    $this->output->set_header("Access-Control-Expose-Headers: Access-Control-Allow-Origin");


    //TODO: Try to detect if this is an ajax request, and disallow it if not.

    $data = new stdClass();
    $this->load->library("ion_auth");
    if($this->ion_auth->logged_in())
    {
        $data->name = $this->ion_auth->user()->row()->first_name;
        $data->id = $this->ion_auth->get_user_id();
    } else {
        $data->id = false;
    }

    $this->output->set_output(json_encode($data));

}

Merci d'avance

  • Par hasard, vous avez "Divers -> Accès aux sources de données sur plusieurs domaines" dans votre Internet -> options de Sécurité désactivé?
  • Le fait que vous êtes rediriger dans la réussite me fait me demander si vous avez besoin d'ajax pour ce tout.
  • Comme une question de fait, il a été réglé sur "désactivé". Je l'ai activé, et il ne fonctionne toujours pas, mais maintenant il n'y a pas d'erreur non plus.
  • avez-vous peut-être une ancienne version de ce js (avant l'ajout de la 'withCredentials paramètre) assis dans votre cache IE (IE aime cache. Il aime)? Juste deviner ici. IE aime mettre des données en cache de requêtes ajax trop. Assurez-vous que vous utilisez quelque chose comme: $.ajaxSetup({cache: false}).
  • Le fait qu'il ne donne plus de vous avez un message d'erreur indique que l'ajax a réussi (ou au moins que le serveur a répondu et le script avait des informations d'identification pour continuer). Quelle est la réponse que le serveur est sortie? edit: c'est peut-être le location.replace chose? Essayez tout d'abord de vérifier si le code est inclus dans le succès de bloc avec juste la window.alert(data)
  • J'ai fait un peu plus de creuser: j'ai ouvert les détails du réseau et attrapa la réponse de l'appel ajax. Elle comportait une erreur PHP, parce que IE n'envoie pas le HTTP_ORIGIN en-tête, où, comme je suppose que google Chrome, Safari et FF ne. J'ai corrigé ça, et maintenant je serai de retour le bon "pas connecté" réponse. Cela signifie qu'il va à travers, la vérification, à défaut de le vérifier, et en renvoyant false.
  • pourriez-vous veuillez cocher votre question dans la réponse. Je pense qu'au moins il va aider les gens dans le futur pour diagnostiquer les problèmes initiaux.
  • p3p les en-têtes de marche, tout simplement, voici la config nginx ( 1 ligne ! ) : gist.github.com/radzikowski/2908924

InformationsquelleAutor Drew | 2013-11-25
  1. 18

    De modifier le réglage pour "Accès aux sources de données sur plusieurs domaines" pour Activé désactive la croix-domaine vérifie dans IE et est terrible et dangereux. Au lieu de cela, vous devez vous assurer que la cible de la 3e partie des ressources envoie un valide politique P3P. qui indique que ce n'est pas faire des choses horribles à l'intimité de l'utilisateur.

    • J'ai regardé dans P3P, mais a décidé contre elle, comme il n'est pas vraiment utilisé. À partir de Wikipedia > P3P a été développé par le World Wide Web Consortium (W3C) et recommandée officiellement le 16 avril 2002. Le développement a cessé peu de temps après et il y a eu très peu d'implémentations de la spécification P3P. Microsoft Internet Explorer est le seul grand navigateur à prendre en charge la spécification P3P
    • Vous: "Pourquoi ne pas mon code fonctionne dans IE?" Moi: "Parce que IE exige P3P." Vous: "Mais P3P n'est pas vraiment utilisé, sauf dans IE." Moi: "..."
    • C'est une manière élégante de mettre ma position (: Et oui, si c'était une plus caractéristique essentielle, je serais à la mise en œuvre d'une politique P3P. Je vais vous donner la réponse parce que vous êtes techniquement correcte, et c'est le meilleur type de correct.
    • J'ai ajouté P3P en-tête de réponse, mais toujours pas aller. Je ne peux changer "Accès aux sources de données sur plusieurs domaines", afin de permettre à le faire fonctionner!
    • J'ai aussi essayé d'ajouter un en-tête P3P en réponse et il n'a pas aidé.
    • Parce que votre problème est totalement différent de l'original de l'affiche. Veuillez ouvrir une nouvelle question sur StackOverflow et collez-y le contenu de la F12 Débogueur de Script journal lorsque les scénarios d'échec.
    • Je suis de l'utilisation d'IE 11 (11.0.9600.18639) sur Win 7 Pro et mon objectif de la 3e partie de la ressource est après CP="TOUS les DSP COR CUR ADM TAI NOTRE IND COM NAV INT" je vois bien dans un violon, mais j'ai toujours de voir le popup d'alerte "Cette page est accéder à des informations qui n'est pas sous contrôle...". S'il vous plaît suggérer ce qui me manque.
    • La politique P3P n'est pas ce que la cause de la "Cette page est en accès à l'information..." avertissement.
    • Ensuite, pouvez-vous svp m'indiquer la direction que veut. Un pointeur sera appréciée. Je ne veux pas mettre "Accès aux sources de données sur plusieurs domaines", mais je peux ajouter des en-Têtes.
    • La bonne façon de poser une question sur StackOverflow est de cliquer sur le grand bleu "Poser une question" bouton en haut à droite de la page. Votre question est: "Comment puis-je permettre à la croix-de l'origine de l'accès aux données à l'aide de la SCRO?" qui a probablement été demandé de nombreuses fois déjà.
    • vraiment eu un éclat de rire ce matin. Merci

    InformationsquelleAutor EricLaw
  2. 14

    Trouvé le problème.

    J'ai eu un problème similaire (à l'aide de la SCRO en général, pas spécifiquement GWT).
    Il s'est avéré que les paramètres du navigateur sont le blocage des tiers
    les cookies (IE10 > Options Internet > vie privée > Avancé > Tiers
    Cookies > Accepter). Pour résoudre le problème, j'ai coché la case "Remplacer automatique
    la gestion des cookies", "Accepter" (Cookies Tiers) et "Toujours autoriser
    cookies de session".

    Andrew répondu à cette question ici: La SCRO ne fonctionne pas avec les cookies dans IE10

    EDIT: (Maintenant que je sais quoi chercher) Cette question peut donner un peu d'aide aussi, si quelqu'un d'autre s'exécute sur cette question. Internet Explorer 10 est ignorant XMLHttpRequest 'xhr.withCredentials = true'

    • Yep cette correction d'un problème similaire pour moi aussi.
    InformationsquelleAutor Drew
  3. 3

    Nous avons eu le problème que, à l'exception de tous les autres navigateur, le IE11 envoyer Access-Control-Request-Headers: accept avec la demande, afin de "accepter" devait être ajouté à la allowedHeaders de la scro de configuration, car il ne semble pas être une partie de la valeur par défaut printemps de la scro de configuration.

    • Dans mon cas, il envoie Access-Control-Request-Headers: content-type, accept
    InformationsquelleAutor RiZKiT
  4. 0

    IE10 nécessite que le serveur de retour valide politique P3P en plus de la SCRO en-têtes de la croix de domaine de demandes de. Voici un exemple de code php pour le renvoi d'un en-tête P3P à partir du serveur.

      $szOrigin = $_SERVER['HTTP_ORIGIN'];
  if ($szOrigin != null)
  {
        header("Access-Control-Allow-Origin: $szOrigin");
        header("Access-Control-Allow-Credentials: true");
        header("P3P: CP=\"ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI\"");
  }
    InformationsquelleAutor 3spot
  5. 0

    Après beaucoup de creuser, j'ai trouvé que la page que je suis une requête ping à l'aide d'ajax est sur la zone internet alors que ma page en cours dans la zone intranet.

    IE 11 a la "Mode Protégé" activé pour des sites internet et lorsque cette option est activée les cookies ne sont pas envoyés sur le site que je suis ping, même s'ils appartiennent à ce domaine.

    Ajout de la page pour les sites de confiance ou de désactiver le "Mode Protégé" a résolu le problème.

    Notez que ce problème ne se produit pas lorsque les deux sites sont dans la zone internet, même lorsque le "Mode Protégé" est activé.

    InformationsquelleAutor Fadi
  6. 0

    J'ai eu le même problème et a trouvé que ni axios ou jquery peut être faite pour fonctionner avec Internet Explorer et le contrôle en amont/SCRO question. Seulement bon vieux XMLhttpRequest travaillé. Parce que dans le plus pur XMLhttpRequest nous pouvons le faire:

    if (xhttp.readyState == 4 && xhttp.status == 200)

    Il semble que l'axios et jquery tiennent compte de la situation et de ne pas la readyState - ils en quelque sorte interpréter qu'il y a un problème de la scro - et cela prend un peu de tiques pour atteindre readyState == 4 dans IE.

    InformationsquelleAutor dataplumber