Risposte:
Ecco come è possibile eseguire il debug delle richieste CORS usando curl.
Invio di una normale richiesta CORS utilizzando cUrl:
curl -H "Origin: http://example.com" --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
Il -H "Origin: http://example.com"
flag è il dominio di terze parti che effettua la richiesta. Sostituisci qualunque sia il tuo dominio.
Il --verbose
flag stampa l'intera risposta in modo da poter vedere le intestazioni di richiesta e risposta.
L'URL che sto usando sopra è una richiesta di esempio a un'API di Google che supporta CORS, ma puoi sostituire qualsiasi url che stai testando.
La risposta dovrebbe includere l' Access-Control-Allow-Origin
intestazione.
Invio di una richiesta di verifica preliminare utilizzando cUrl:
curl -H "Origin: http://example.com" \
-H "Access-Control-Request-Method: POST" \
-H "Access-Control-Request-Headers: X-Requested-With" \
-X OPTIONS --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
Sembra simile alla normale richiesta CORS con alcune aggiunte:
I -H
flag inviano ulteriori intestazioni di richiesta di preflight al server
Il -X OPTIONS
flag indica che si tratta di una richiesta OPZIONI HTTP.
Se la richiesta di verifica preliminare è successo, la risposta dovrebbe includere i Access-Control-Allow-Origin
, Access-Control-Allow-Methods
e Access-Control-Allow-Headers
intestazioni di risposta. Se la richiesta di verifica preliminare non ha avuto esito positivo, queste intestazioni non dovrebbero apparire o la risposta HTTP non sarà 200.
Puoi anche specificare intestazioni aggiuntive, ad esempio User-Agent
, usando il -H
flag.
--verbose
opzione, come indicato sopra.
--head
:curl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\=
curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file
.
curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
Access-Control-Allow-*
tua risorsa supporta CORS.Razionale per una risposta alternativa
Ogni tanto google questa domanda e la risposta accettata non è mai ciò di cui ho bisogno. Prima stampa il corpo della risposta che è molto testo. Aggiunta di --head
output solo intestazioni. In secondo luogo, quando testiamo gli URL S3, dobbiamo fornire un'intestazione aggiuntiva -H "Access-Control-Request-Method: GET"
.
Spero che questo ti farà risparmiare tempo.
--head
fare arricciare la stampa delle intestazioni, ma fa anche arricciare una HEAD
richiesta piuttosto che un GET
. A seconda di ciò che stai testando, potresti voler fare una GET
richiesta. Puoi farlo aggiungendo --IXGET
.
Lo script bash "corstest" qui sotto funziona per me. Si basa sul commento di Jun sopra.
uso
corstest [-v] url
esempi
./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *
il risultato positivo viene visualizzato in verde
./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS
il risultato negativo viene visualizzato in rosso e blu
l'opzione -v mostrerà le intestazioni di arricciatura complete
corstest
#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139
#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'
red='\033[0;31m'
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'
#
# a colored message
# params:
# 1: l_color - the color of the message
# 2: l_msg - the message to display
#
color_msg() {
local l_color="$1"
local l_msg="$2"
echo -e "${l_color}$l_msg${endColor}"
}
#
# show the usage
#
usage() {
echo "usage: [-v] $0 url"
echo " -v |--verbose: show curl result"
exit 1
}
if [ $# -lt 1 ]
then
usage
fi
# commandline option
while [ "$1" != "" ]
do
url=$1
shift
# optionally show usage
case $url in
-v|--verbose)
verbose=true;
;;
esac
done
if [ "$verbose" = "true" ]
then
curl -s -X GET $url -H 'Cache-Control: no-cache' --head
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)
if [ $? -eq 0 ]
then
color_msg $green "$url $origin"
else
color_msg $red "$url does not support CORS"
color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi
Sembra proprio che funzioni:
curl -I http://example.com
Cerca Access-Control-Allow-Origin: *
nelle intestazioni restituite
*
non funziona se è necessario presentare credenziali come un cookie con la richiesta API. In tal caso, nella Access-Control-Allow-Origin
risposta è richiesto anche il nome di dominio completo (FQDN) Access-Control-Allow-Credentials: true
. Le richieste con credenziali, sebbene non siano state specificate come un requisito dall'OP, quindi *
funzionano per qualsiasi richiesta non autenticata.