Como ignorar a solicitação de comprovação OPÇÕES?

Question 1

Eu desenvolvi um aplicativo PhoneGap que agora está sendo transformado em um site móvel. Tudo funciona bem, exceto uma pequena falha. Eu uso uma determinada API de terceiros por meio de uma solicitação POST, que funciona bem no aplicativo, mas falha na versão do site móvel.

Depois de um olhar mais atento, parece que o AngularJS (na verdade, acho que o navegador) está enviando primeiro uma solicitação OPTIONS. Aprendi muito hoje sobre o CORS, mas não consigo descobrir como desativá-lo completamente. Não tenho acesso a essa API (portanto, alterações nesse lado são impossíveis), mas eles adicionaram o domínio no qual estou trabalhando ao cabeçalho Access-Control-Allow-Origin.

Este é o código do qual estou falando:

        var request = {
                language: 'fr',
                barcodes: [
                    {
                        barcode: 'somebarcode',
                        description: 'Description goes here'
                    }
                ]
            };
        }
        var config = {
            headers: { 
                'Cache-Control': 'no-cache',
                'Content-Type': 'application/json'
            }
        };
        $http.post('http://somedomain.be/trackinginfo', request, config).success(function(data, status) {
            callback(undefined, data);
        }).error(function(data, status) {
            var err = new Error('Error message');
            err.status = status;
            callback(err);
        });

Como posso evitar que o navegador (ou AngularJS) envie essa solicitação OPTIONS e pule para a solicitação POST real? Estou usando o AngularJS 1.2.0.

Desde já, obrigado.

Question 2

O preflight está sendo acionado por seu tipo de conteúdo de application/json. A maneira mais simples de evitar isso é definir o Content-Type para ser o text/plainseu caso. application/x-www-form-urlencoded& multipart/form-dataContent-Types também são aceitáveis, mas é claro que você precisará formatar sua carga útil de solicitação de forma adequada.

Se você ainda estiver vendo um preflight após fazer essa alteração, o Angular pode estar adicionando um cabeçalho X à solicitação também.

Ou você pode ter cabeçalhos (Autorização, Controle de Cache ...) que irão acioná-lo, consulte:

https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS#Preflighted_requests

Question 3

Como disse Ray, você pode pará-lo modificando o cabeçalho do conteúdo, como -

 $http.defaults.headers.post["Content-Type"] = "text/plain";

Por exemplo -

angular.module('myApp').factory('User', ['$resource','$http',
    function($resource,$http){
        $http.defaults.headers.post["Content-Type"] = "text/plain";
        return $resource(API_ENGINE_URL+'user/:userId', {}, {
            query: {method:'GET', params:{userId:'users'}, isArray:true},
            getLoggedIn:{method:'GET'}
        });
    }]);

Ou diretamente para uma chamada -

var req = {
 method: 'POST',
 url: 'http://example.com',
 headers: {
   'Content-Type': 'text/plain'
 },
 data: { test: 'test' }
}

$http(req).then(function(){...}, function(){...});

Isso não enviará nenhuma solicitação de opção pré-voo.

NOTA: A solicitação não deve ter nenhum parâmetro de cabeçalho personalizado. Se o cabeçalho da solicitação contiver qualquer cabeçalho personalizado, o navegador fará uma solicitação pré-voo, você não pode evitá-la.

Question 4

Ao executar certos tipos de solicitações AJAX de domínio cruzado, os navegadores modernos que suportam CORS irão inserir uma solicitação extra de "comprovação" para determinar se eles têm permissão para executar a ação. Da consulta de exemplo:

$http.get( ‘https://example.com/api/v1/users/’ +userId,
  {params:{
           apiKey:’34d1e55e4b02e56a67b0b66’
          }
  } 
);

Como resultado deste fragmento, podemos ver que ao endereço foram enviadas duas solicitações (OPTIONS e GET). A resposta do servidor inclui cabeçalhos que confirmam a permissibilidade da consulta GET. Se o seu servidor não estiver configurado para processar uma solicitação OPTIONS corretamente, as solicitações do cliente falharão. Por exemplo:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: accept, origin, x-requested-with, content-type
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Methods: OPTIONS
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Methods: GET
Access-Control-Allow-Methods: POST
Access-Control-Allow-Orgin: *
Access-Control-Max-Age: 172800
Allow: PUT
Allow: OPTIONS
Allow: POST
Allow: DELETE
Allow: GET

Question 5

Acho que a melhor maneira é verificar se o pedido é do tipo "OPÇÕES" e retornar 200 do middleware. Funcionou para mim

express.use('*',(req,res,next) =>{
      if (req.method == "OPTIONS") {
        res.status(200);
        res.send();
      }else{
        next();
      }
    });

Question 6

Preflight é um recurso de segurança da web implementado pelo navegador. Para o Chrome, você pode desativar toda a segurança da web adicionando a sinalização --disable-web-security.

Por exemplo: "C: \ Arquivos de programas \ Google \ Chrome \ Application \ chrome.exe" --disable-web-security --user-data-dir = "C: \ newChromeSettingsWithoutSecurity". Você pode primeiro criar um novo atalho de cromo, ir para suas propriedades e alterar o alvo como acima. Isso deve ajudar!

Question 7

definir o tipo de conteúdo como indefinido faria o javascript passar os dados do cabeçalho como estão, e sobrescrever as configurações de cabeçalho $ httpProvider padrão do angular. Documentação Angular $ http

$http({url:url,method:"POST", headers:{'Content-Type':undefined}).then(success,failure);

Answer 1

Eu desenvolvi um aplicativo PhoneGap que agora está sendo transformado em um site móvel. Tudo funciona bem, exceto uma pequena falha. Eu uso uma determinada API de terceiros por meio de uma solicitação POST, que funciona bem no aplicativo, mas falha na versão do site móvel.

Depois de um olhar mais atento, parece que o AngularJS (na verdade, acho que o navegador) está enviando primeiro uma solicitação OPTIONS. Aprendi muito hoje sobre o CORS, mas não consigo descobrir como desativá-lo completamente. Não tenho acesso a essa API (portanto, alterações nesse lado são impossíveis), mas eles adicionaram o domínio no qual estou trabalhando ao cabeçalho Access-Control-Allow-Origin.

Este é o código do qual estou falando:

        var request = {
                language: 'fr',
                barcodes: [
                    {
                        barcode: 'somebarcode',
                        description: 'Description goes here'
                    }
                ]
            };
        }
        var config = {
            headers: { 
                'Cache-Control': 'no-cache',
                'Content-Type': 'application/json'
            }
        };
        $http.post('http://somedomain.be/trackinginfo', request, config).success(function(data, status) {
            callback(undefined, data);
        }).error(function(data, status) {
            var err = new Error('Error message');
            err.status = status;
            callback(err);
        });

Como posso evitar que o navegador (ou AngularJS) envie essa solicitação OPTIONS e pule para a solicitação POST real? Estou usando o AngularJS 1.2.0.

Desde já, obrigado.

Answer 2

100

O preflight está sendo acionado por seu tipo de conteúdo de application/json. A maneira mais simples de evitar isso é definir o Content-Type para ser o text/plainseu caso. application/x-www-form-urlencoded& multipart/form-dataContent-Types também são aceitáveis, mas é claro que você precisará formatar sua carga útil de solicitação de forma adequada.

Se você ainda estiver vendo um preflight após fazer essa alteração, o Angular pode estar adicionando um cabeçalho X à solicitação também.

Ou você pode ter cabeçalhos (Autorização, Controle de Cache ...) que irão acioná-lo, consulte:

https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS#Preflighted_requests

Ray Nicholus
fonte

9

Esta é a resposta correta - seus cabeçalhos Content-Type e Cache-Control estão acionando uma solicitação de comprovação. Um GET simples com um Content-Type de text / plain e alguns outros são as únicas maneiras de acionar uma solicitação não preflight. Veja: developer.mozilla.org/en-US/docs/HTTP/…

Jeff Hubbard,

Ah sim, esqueci o Cache-Control.

Ray Nicholus

15

Um cabeçalho personalizado também acionará o preflight.

Sébastien Deprez

1

Alterar o tipo de conteúdo para evitar o teste OPTIONs não é a resposta. O tipo de conteúdo deve corresponder ao tipo de conteúdo independentemente

ekerner

se for o navegador lançando e no backend, o método Http OPTIONS estiver bloqueado, terá algum efeito, se o navegador não chamar a API correspondente para POST / PUT porque OPTIONS falhou?

P Satish Patro

Answer 3

9

Esta é a resposta correta - seus cabeçalhos Content-Type e Cache-Control estão acionando uma solicitação de comprovação. Um GET simples com um Content-Type de text / plain e alguns outros são as únicas maneiras de acionar uma solicitação não preflight. Veja: developer.mozilla.org/en-US/docs/HTTP/…

Jeff Hubbard,

Answer 4

Ah sim, esqueci o Cache-Control.

Ray Nicholus

Answer 5

15

Um cabeçalho personalizado também acionará o preflight.

Sébastien Deprez

Answer 6

1

Alterar o tipo de conteúdo para evitar o teste OPTIONs não é a resposta. O tipo de conteúdo deve corresponder ao tipo de conteúdo independentemente

ekerner

Answer 7

se for o navegador lançando e no backend, o método Http OPTIONS estiver bloqueado, terá algum efeito, se o navegador não chamar a API correspondente para POST / PUT porque OPTIONS falhou?

P Satish Patro

Answer 8

16

Como disse Ray, você pode pará-lo modificando o cabeçalho do conteúdo, como -

 $http.defaults.headers.post["Content-Type"] = "text/plain";

Por exemplo -

angular.module('myApp').factory('User', ['$resource','$http',
    function($resource,$http){
        $http.defaults.headers.post["Content-Type"] = "text/plain";
        return $resource(API_ENGINE_URL+'user/:userId', {}, {
            query: {method:'GET', params:{userId:'users'}, isArray:true},
            getLoggedIn:{method:'GET'}
        });
    }]);

Ou diretamente para uma chamada -

var req = {
 method: 'POST',
 url: 'http://example.com',
 headers: {
   'Content-Type': 'text/plain'
 },
 data: { test: 'test' }
}

$http(req).then(function(){...}, function(){...});

Isso não enviará nenhuma solicitação de opção pré-voo.

NOTA: A solicitação não deve ter nenhum parâmetro de cabeçalho personalizado. Se o cabeçalho da solicitação contiver qualquer cabeçalho personalizado, o navegador fará uma solicitação pré-voo, você não pode evitá-la.

vivex
fonte

1

Como devo fazer isso apenas com $http?

learnercys

Obrigado, isso é semelhante ao que eu estava fazendo. As únicas mudanças são o método GETe um cabeçalho extra Authorization. Mas ainda enviando o pré-vôo.

learnercys

1

Você pode colar sua solicitação aqui? como onda ou algo assim? Talvez seja por causa do cabeçalho de autorização, tente removê-lo e tente. Se você estiver enviando cabeçalhos personalizados, o angular enviará a solicitação pré-voo.

vivex

pastebin.com/vRDeFiH2 O primeiro é o pedido para $ http e o segundo é um pedido válido compilá-lo pelo carteiro :)

learnercys

Answer 9

1

Como devo fazer isso apenas com $http?

learnercys

Answer 10

Obrigado, isso é semelhante ao que eu estava fazendo. As únicas mudanças são o método GETe um cabeçalho extra Authorization. Mas ainda enviando o pré-vôo.

learnercys

Answer 11

1

Você pode colar sua solicitação aqui? como onda ou algo assim? Talvez seja por causa do cabeçalho de autorização, tente removê-lo e tente. Se você estiver enviando cabeçalhos personalizados, o angular enviará a solicitação pré-voo.

vivex

Answer 12

pastebin.com/vRDeFiH2 O primeiro é o pedido para $ http e o segundo é um pedido válido compilá-lo pelo carteiro :)

learnercys

Answer 13

Ao executar certos tipos de solicitações AJAX de domínio cruzado, os navegadores modernos que suportam CORS irão inserir uma solicitação extra de "comprovação" para determinar se eles têm permissão para executar a ação. Da consulta de exemplo:

$http.get( ‘https://example.com/api/v1/users/’ +userId,
  {params:{
           apiKey:’34d1e55e4b02e56a67b0b66’
          }
  } 
);

Como resultado deste fragmento, podemos ver que ao endereço foram enviadas duas solicitações (OPTIONS e GET). A resposta do servidor inclui cabeçalhos que confirmam a permissibilidade da consulta GET. Se o seu servidor não estiver configurado para processar uma solicitação OPTIONS corretamente, as solicitações do cliente falharão. Por exemplo:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: accept, origin, x-requested-with, content-type
Access-Control-Allow-Methods: DELETE
Access-Control-Allow-Methods: OPTIONS
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Methods: GET
Access-Control-Allow-Methods: POST
Access-Control-Allow-Orgin: *
Access-Control-Max-Age: 172800
Allow: PUT
Allow: OPTIONS
Allow: POST
Allow: DELETE
Allow: GET

Answer 14

2

Acho que a melhor maneira é verificar se o pedido é do tipo "OPÇÕES" e retornar 200 do middleware. Funcionou para mim

express.use('*',(req,res,next) =>{
      if (req.method == "OPTIONS") {
        res.status(200);
        res.send();
      }else{
        next();
      }
    });

Devbrat Raghuvanshi
fonte

Funciona, mas no OWASP é recomendado não expor OPTIONS. Você bloqueia o tempo no serviço de back-end / hospedado (Nginx, Apache) etc.

P Satish Patro

Answer 15

Funciona, mas no OWASP é recomendado não expor OPTIONS. Você bloqueia o tempo no serviço de back-end / hospedado (Nginx, Apache) etc.

P Satish Patro

Answer 16

0

Preflight é um recurso de segurança da web implementado pelo navegador. Para o Chrome, você pode desativar toda a segurança da web adicionando a sinalização --disable-web-security.

Por exemplo: "C: \ Arquivos de programas \ Google \ Chrome \ Application \ chrome.exe" --disable-web-security --user-data-dir = "C: \ newChromeSettingsWithoutSecurity". Você pode primeiro criar um novo atalho de cromo, ir para suas propriedades e alterar o alvo como acima. Isso deve ajudar!

Arijit Patra
fonte

Você realmente não pode esperar que OP diga a seus clientes para desligar a segurança do navegador apenas para habilitar um recurso, certo ?!

svarog

@svarog isso é principalmente para propósitos de desenvolvimento, principalmente no servidor de produção, você não enfrentará esse problema.

Arijit Patra

se for o navegador jogando, e no backend, o método Http OPTIONS estiver bloqueado, terá algum efeito, se o navegador não chamar a API correspondente para POST / PUT porque OPTIONS falhou?

P Satish Patro

Answer 17

Você realmente não pode esperar que OP diga a seus clientes para desligar a segurança do navegador apenas para habilitar um recurso, certo ?!

svarog

Answer 18

@svarog isso é principalmente para propósitos de desenvolvimento, principalmente no servidor de produção, você não enfrentará esse problema.

Arijit Patra

Answer 19

se for o navegador jogando, e no backend, o método Http OPTIONS estiver bloqueado, terá algum efeito, se o navegador não chamar a API correspondente para POST / PUT porque OPTIONS falhou?

P Satish Patro

Answer 20

definir o tipo de conteúdo como indefinido faria o javascript passar os dados do cabeçalho como estão, e sobrescrever as configurações de cabeçalho $ httpProvider padrão do angular. Documentação Angular $ http

$http({url:url,method:"POST", headers:{'Content-Type':undefined}).then(success,failure);

Como ignorar a solicitação de comprovação OPÇÕES?

Respostas: