VIKEnut'

Pt

РусскийPolskiDeutschEspañol

Tema escuro

Write

Tema escuro

Pt

РусскийPolskiDeutschEspañol
http-headersapachecross-domaincorsconfiguration

Ignorando a autenticação para "Solicitação de opções" (para que todos os cabeçalhos sejam enviados na resposta)

Isso está no contexto do compartilhamento de recursos de origem cruzada. Para a solicitação de comprovação, o servidor não está enviando os cabeçalhos definidos. Quando um cookie válido não é passado com a "solicitação de opções", o servidor em sua resposta não está enviando os cabeçalhos que eu defini, no entanto, ele está enviando "200 OK". Eu verifiquei isso com o curl como pode ser visto abaixo (obviamente, eu substituí meu cookie válido com um manequim "xyzabcde" aqui)

A solicitação de onda SEM cookie:

curl -H "Origin: app2_url"   -H "Access-Control-Request-Method: POST"   -H "Access-Control-Request-Headers: accept, origin, content-type"   -X OPTIONS --verbose   app1_url/jsonrpc.cgi

(envia abaixo resposta ...)

HTTP/1.1 200 OK
Date: Tue, 01 Oct 2013 11:37:36 GMT
Server: Apache
Expires: Tue, 01 Oct 2013 11:37:36 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Expires: Tue, 01 Oct 2013 11:37:36 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 4531
Content-Type: text/html; charset=utf-8

com "-H Cookie: xyzabcde":

curl -H "Origin: app2_url"   -H "Access-Control-Request-Method: POST"   -H "Access-Control-Request-Headers: accept, origin, content-type" "-H Cookie:xyzabcde"  -X OPTIONS --verbose   app1_url/jsonrpc.cgi

(envia abaixo resposta ...)

HTTP/1.1 403 Forbidden
Date: Wed, 02 Oct 2013 18:48:34 GMT
Server: Apache
X-frame-options: ALLOW-FROM app2_url
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: accept, origin, content-type, Man, Messagetype, Soapaction, X-Requested-With
Access-Control-Allow-Methods: GET, POST, HEAD, PUT, OPTIONS
Access-Control-Allow-Origin: app2_url
Access-Control-Max-Age: 1800
Transfer-Encoding: chunked
Content-Type: application/json; charset=UTF-8

A configuração do apache parece algo como ...

<VirtualHost *:443>
.
.
Header always set X-Frame-Options "ALLOW-FROM app2_url"
Header  always set  Access-Control-Allow-Credentials "true"
Header  always set  Access-Control-Allow-Headers    "accept, origin, content-type, Man, Messagetype, Soapaction, X-Requested-With"
Header  always set  Access-Control-Allow-Methods    "GET, POST, HEAD, PUT, OPTIONS"
Header  always set  Access-Control-Allow-Origin    "app2_url"
Header  always set  Access-Control-Max-Age  "1800"
.
.
.
<Directory /app1/dir/>      
    Options Includes FollowSymLinks ExecCGI MultiViews
    AllowOverride None
    Order allow,deny
    allow from all
    AuthType Net
    PubcookieInactiveExpire -1
    PubcookieAppID app1.company.com
    require valid-user
</Directory>
.
.
</VirtualHost>

Como posso enviar todos os cabeçalhos em resposta a solicitações não autenticadas? Eu acho, solicitações de opções idealmente não devem exigir nenhuma autenticação.

questionAnswers(1)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

JavaScript para interromper a reprodução de vídeo HTML5 na janela modal fechar

0 a resposta

Múltiplos parâmetros no apprask do Flask

0 a resposta

Como otimizar o uso da cláusula &quot;OU&quot; quando usada com parâmetros (SQL Server 2008)

0 a resposta

Em que condições é criado um JSESSIONID?

0 a resposta

ggplot2: reordene as barras no gráfico de barras do maior para o menor [duplicado]