Eu estou usando Sinatra e CORS para aceitar um upload de arquivo no domínio A (hefty.burger.com). Domínio B (fizzbuzz.com) tem um formulário que envia um arquivo para uma rota em A.

Eu tenho uma rota de opções e uma rota de postagem, ambas chamadas '/ uploader'.

<code>options '/uploader' do
  headers 'Access-Control-Allow-Origin' => 'http://fizz.buzz.com',
  'Access-Control-Allow-Methods' => 'POST'
  200
end 

post '/uploader' do
  ... 
  content_type :json
  [{:mary => 'little lamb'}].to_json
end
</code>

As opções são atingidas primeiro ... e funciona ... então o post é atingido e retorna um 403.

Se eu desabilitar a proteção, a postagem funciona ... que tipo de proteção eu preciso excluir de uma lista para manter a proteção, mas permitir que essas postagens sejam acessadas?

Eu só recentemente fui queimado pela nova proteção do Rack chutando Heroku e me causando algum pesar ... alguém tem um bom ponteiro para o que fazer aqui? A razão de eu dizer isso, é de repente eu estou vendo entradas de log com alertas para problemas de seqüestro de sessão (quase certamente devido a nada mais do que correr> 1 Dyno para o aplicativo). Eu vejo proteção de rack (1.2.0) no meu Gemfile.lock, embora eu nunca pedi por isso ... algo no meu manifesto está chamando por isso, por isso é carregado, mas nada no meu aplicativo Sinatra ainda tenta exigir isso ou configurá-lo.