NGINX + CORS, ne salje Access-Control-Allow-Origin za code 200

[ mikikg @ 15.06.2014. 11:37 ] @

Pozdrav drustvo,

slabo dolazim na ovaj deo foruma ali ovog puta me muka naterala :(

Kao sto se iz naslova vidi, imam NGINX server na Debianu (nginx 1.2.1-2.2+wheezy2), uredno sve podeseno, radi "uglavnom" sve kako treba.

Medjutim nastao mi je problem sa cros-domain validacijom za JS i XMLHttpRequest.

Naime, za podesavanje CORS-a je potrebno u konfiguraciji servera uraditi ovako nesto:

Code:

#… ostala server podesavanja …

server_name mojdomen.com

location /api/ {

    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' 'https://dev.mojdomen.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'POST';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        return 204;
    }

    if ($request_method = 'POST') {
        add_header 'Access-Control-Allow-Origin' 'https://dev.mojdomen.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'POST';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
    }

    index  index.html index.htm index.php;
    try_files $uri /api/index.php?$args;

}

Kada napravim XMLHttpRequest na originalnom/dozvoljenom domenu "https://mojdomen.com" sve naravno uredno prodje.
Medjutim kada to pokusam da uradim sa "https://dev.mojdomen.com", npr iz FireFox, on pocne da se zali da to nije dozvoljeno i da nije specificiran Access-Control-Allow-Origin header.
Na isti problem mi se zale i developeri koji to koriste za neku mobilnu aplikaciju.

Dakle kada uradim OPTIONS request dobijem sve kako treba (taj zahtev se po specifikaciji poziva automatski iz JS, tkz pre-flight) i sve specificirane dodatne headere.
Ali kada zatim sledi POST koji stvarno treba da povuce potrebne podatke, dobijem "klasican" response sa standardnim hederima a ovim specificiranim dodatnim headerima nema ni traga ni glasa :(

Svasta sam probao ali jednostavno NGINX za POST request nece da vrati nista sto je specificirano sa direktivama add_header.

I da, sve je pod HTTPS ako to ima veze ...

U cemu je tu problem, gde gresim? Da nije bug u NGINX?

[ bogdan.kecman @ 15.06.2014. 13:03 ] @

kada ga koristis kao rev.proxy onda moras da dodas hide_header

Code:

        add_header 'Access-Control-Allow-Origin' 'https://dev.mojdomen.com';
        proxy_hide_header 'Access-Control-Allow-Origin';

        add_header 'Access-Control-Allow-Credentials' 'true';
        proxy_hide_header 'Access-Control-Allow-Credentials';

        add_header 'Access-Control-Allow-Methods' 'POST';
        proxy_hide_header 'Access-Control-Allow-Methods';

        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        proxy_hide_header 'Access-Control-Allow-Headers';

koristis headers_more (http://wiki.nginx.org/NginxHttpHeadersMoreModule) ili ?

[ mikikg @ 15.06.2014. 13:06 ] @

Hmm, nije mi reverzni proxy, srandalone webserver sa FCGI.
Trenutno ne koristim taj HeaderMore modul (morao bih da rekompajliram server, koristio sam stock sa repoa).

[ bogdan.kecman @ 15.06.2014. 13:21 ] @

ni ja ne trosim taj more .. mislim da ovo proxy_hide_header treba i ako
je standalone ali to vec ne znam 100%

takodje, dodaj neki header ispod ifova (za uvek) neki obican tipa

add_header 'kuku-lele-sta-me' 'snaslo';

pre index posle drugog ifa .. pa pogledaj dal ti se taj heder pojavljuje
mozda je problem sa request_method .. mozda treba if ($request_methid ~*
'options') ..

[ mikikg @ 15.06.2014. 17:34 ] @

Nasao sam sta je problem uz Bogdanovu pomoc, ovi add_header moraju da idu uz blok koji hvata .php lokaciju

Code:
    location /api/ {

        if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Allow-Origin' 'https://dev.mojdomen.com';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Allow-Methods' 'POST,GET';
            add_header 'Access-Control-Allow-Headers' 'Content-Type, Content-Length, User-Agent, Pragma, Cache-Control';
            return 204;
        }

        index  index.html index.htm index.php;
        try_files $uri /api/index.php?$args;
    }

    ########################################
    # pass the PHP scripts to FastCGI socket
    ########################################
    location ~*\.php$ {
        fastcgi_pass unix:/tmp/php.socket;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME   $document_root$fastcgi_script_name;
        include         fastcgi_params;

        fastcgi_buffers 16 16k;
        fastcgi_buffer_size 32k;

        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Methods' 'POST,GET';
        add_header 'Access-Control-Allow-Headers' 'Content-Type, Content-Length, User-Agent, Pragma, Cache-Control';
    }

Naravno, ovaj deo koji je vezan za PHP moze da se resi na nivou same aplikacije tako da PHP izbacuje te hedere a ne webserver, dodaju se ovi headeri u skripti:

Code:
header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Credentials: true");
header('Access-Control-Allow-Methods: POST');
header('Access-Control-Allow-Headers: Content-Type, Content-Length, User-Agent, Pragma, Cache-Control');