Я использую Sinatra и CORS, чтобы принять загрузку файла на домене A (hefty.burger.com). Домен B (fizzbuzz.com) имеет форму, которая загружает файл в маршрут на A.

У меня есть параметры route и post post, оба с именем "/ uploader".

<code>options '/uploader' do
  headers 'Access-Control-Allow-Origin' => 'http://fizz.buzz.com',
  'Access-Control-Allow-Methods' => 'POST'
  200
end 

post '/uploader' do
  ... 
  content_type :json
  [{:mary => 'little lamb'}].to_json
end
</code>

Сначала выбираются параметры ... и это работает .. затем сообщение получает удар и возвращает 403.

Если я отключаю защиту, сообщение работает ... какую защиту мне нужно исключить из списка, чтобы сохранить защиту, но пропустить эти сообщения?

Я только недавно был сожжен новой защитой Стойки, включенной в Heroku и причиняющей мне некоторое горе ... у кого-нибудь есть хороший указатель на то, что делать здесь? Причина, по которой я так говорю, заключается в том, что я внезапно вижу записи в журнале с предупреждениями о проблемах перехвата сеанса (почти наверняка из-за не более чем запуска & gt; 1 Dyno для приложения). Я вижу Rack-Protection (1.2.0) в моем Gemfile.lock, хотя я никогда не просил об этом ... что-то в моем манифесте требует этого, поэтому он загружен, но ничто в моем приложении Sinatra даже не пытается этого потребовать или настроить его.