Como você pode depurar uma solicitação CORS com cURL?

300

Como você pode depurar solicitações CORS usando cURL? Até agora, não consegui encontrar nenhuma maneira de "simular" a solicitação de comprovação.

curl cors themihai
fonte

Respostas:

496

Veja como você pode depurar solicitações CORS usando curl.

Enviando uma solicitação CORS regular usando cUrl:

curl -H "Origin: http://example.com" --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

A -H "Origin: http://example.com"bandeira é o domínio de terceiros que faz a solicitação. Substitua em qualquer que seja o seu domínio.

O --verbosesinalizador imprime toda a resposta para que você possa ver os cabeçalhos de solicitação e resposta.

O URL que estou usando acima é um exemplo de solicitação para uma API do Google que suporta CORS, mas você pode substituir o URL que estiver testando.

A resposta deve incluir o Access-Control-Allow-Origincabeçalho.

Enviando uma solicitação de comprovação usando cUrl:

curl -H "Origin: http://example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: X-Requested-With" \
  -X OPTIONS --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

Isso é semelhante à solicitação regular do CORS com algumas adições:

Os -Hsinalizadores enviam cabeçalhos adicionais de solicitação de comprovação ao servidor

O -X OPTIONSsinalizador indica que esta é uma solicitação HTTP OPTIONS.

Se a solicitação de comprovação for bem sucedida, a resposta deve incluir os Access-Control-Allow-Origin, Access-Control-Allow-Methodse Access-Control-Allow-Headerscabeçalhos de resposta. Se a solicitação de comprovação não for bem-sucedida, esses cabeçalhos não deverão aparecer ou a resposta HTTP não será 200.

Você também pode especificar cabeçalhos adicionais, como User-Agent, usando o -Hsinalizador.

Monsur
fonte
2
essa página parece não retornar nenhum cabeçalho CORS, está correto?
Janus Troelsen
1
Para visualizar os cabeçalhos reais, você precisa adicionar a --verboseopção, conforme mencionado acima.
Monsur
10
ou --head:curl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\=
John Bachir
2
Use --include para ver os cabeçalhos.
Mika Tuupola
7
No caso do S3, os cabeçalhos correspondentes são adicionados apenas se o método apropriado for fornecido, você pode fazer isso usando curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file.
Joscha
52

Resposta atualizada que cobre a maioria dos casos

curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
  1. Substitua http://www.example.com/ pelo URL que você deseja testar.
  2. Se a resposta incluir Access-Control-Allow-*, seu recurso suporta o CORS.

Fundamentação da resposta alternativa

Eu pesquiso essa pergunta no Google de vez em quando e a resposta aceita nunca é o que eu preciso. Primeiro, imprime o corpo da resposta, que é muito texto. Adicionando --headsaídas apenas cabeçalhos. Segundo, ao testar URLs S3, precisamos fornecer um cabeçalho adicional -H "Access-Control-Request-Method: GET".

Espero que isso economize tempo.

Vilius Paulauskas
fonte
2
se eu enrolar sem definir a origem e conseguir recuperar respostas e cabeçalhos (incluindo o cabeçalho de controle de acesso e permissão de origem), isso significa que eu configurei meu CORS incorretamente? curl -X GET ' endpoint.com ' -H 'Controle de cache: sem cache' --head
Jun711 13/07/19
o mesmo @Jun
Lukas Lukac
1
Isso depende de --headfazer curl imprimir os cabeçalhos, mas também faz com que o curl faça uma HEADsolicitação em vez de a GET. Dependendo do que você está testando, convém fazer uma GETsolicitação. Você pode fazer isso adicionando --IXGET.
Aidan Fitzpatrick
2
Não é isso ao contrário? A origem não deveria ser exemplo.com?
Dustin Ingram
4

O script bash "corstest" abaixo funciona para mim. É baseado no comentário de junho acima.

uso

url de [mais]

exemplos

./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *

o resultado positivo é exibido em verde

./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS

o resultado negativo é exibido em vermelho e azul

a opção -v mostrará os cabeçalhos de curvatura completos

Corstest

#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139

#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'  
red='\033[0;31m'  
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'

#
# a colored message 
#   params:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}


#
# show the usage
#
usage() {
  echo "usage: [-v] $0 url"
  echo "  -v |--verbose: show curl result" 
  exit 1 
}

if [ $# -lt 1 ]
then
  usage
fi

# commandline option
while [  "$1" != ""  ]
do
  url=$1
  shift

  # optionally show usage
  case $url in      
    -v|--verbose)
       verbose=true;
       ;;          
  esac
done  


if [ "$verbose" = "true" ]
then
  curl -s -X GET $url -H 'Cache-Control: no-cache' --head 
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)


if [ $? -eq 0 ]
then
  color_msg $green "$url $origin"
else
  color_msg $red "$url does not support CORS"
  color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi
Wolfgang Fahl
fonte
adicionar o cabeçalho Origin tornaria melhor e g. 'Origem: -H mydomain.xyz '
Bas
3

Parece que isso funciona:

curl -I http://example.com

Procure Access-Control-Allow-Origin: *nos cabeçalhos retornados

MalcolmOcean
fonte
3
Lembre-se de que *não funciona se credenciais como um cookie precisarem ser apresentadas com a solicitação da API. Nesse caso, o FQDN é necessário na Access-Control-Allow-Originresposta, bem comoAccess-Control-Allow-Credentials: true . As solicitações credenciadas, embora não tenham sido especificadas como um requisito pelo OP, *funcionam com solicitações não autenticadas.
GameSalutes 30/01/19