Eu tenho um aplicativo da web, digamoshttp://web.example.com fazendo uma solicitação POST parahttp://api.example.com. O servidor da API está executando a versão mais recente do Sinatra com a proteção de rack ativada. Estou recebendo este erro 'ataque impedido pelo Rack :: Protection :: HttpOrigin'.

Eu posso fazer algo assim:

set :protection, :except => [:http_origin]

mas sinto que estou apenas ignorando o problema real.

Eu tentei fazer isso:

use Rack::Protection::HttpOrigin, :origin_whitelist => ['http://web.example.com']

mas ainda recebo o aviso.

A solicitação não é rejeitada, mas Sinatra limpa minha sessãoveja este post e eu preciso do session_id.

Qualquer ajuda ou exemplos sobre como especificar o option_whitelist para a classe HttpOrigin seriam muito apreciados.