REST и CORS

[johnluxor]

Добрый день.

Сегодня помучался с вопросом, почему поведение yii\filters\Cors не отправляет заголовки CORS.

И тут я выяснил вот, что:

Есть в этом поведении такая функция, которая переделывает из заголовка в ключи массива $_SERVER

Код: Выделить всё

 /**
     * Convert any string (including php headers with HTTP prefix) to header format like :
     *  * X-Pingother -> HTTP_X_PINGOTHER
     *  * X PINGOTHER -> HTTP_X_PINGOTHER
     * @param string $string string to convert
     * @return string the result in "php $_SERVER header" format
     */
    protected function headerizeToPhp($string)
    {
        return 'HTTP_' . strtoupper(str_replace([' ', '-'], ['_', '_'], $string));
    }
 

К примеру, ключ Origin переделывает в HTTP_ORIGIN и далее когда подготавливается отправка заголовка, то проверяется есть ли значение у $_SERVER['HTTP_ORIGIN']
Но такого значения нет в этой переменной и соответственно заголовок не отправляется.

Собственно вопрос, это почему так? Или что я делаю не так, откуда в $_SERVER должны появиться эти ключи?

[r3verser]

Заголовок origin шлет клиент, поэтому он попадает в $_SERVER.

[johnluxor]

То есть получается в запросе клиент должен отправить все заголовки:

HTTP_ORIGIN
HTTP_ACCESS_CONTROL_REQUEST_METHOD
HTTP_ACCESS_CONTROL_REQUEST_HEADERS
HTTP_ACCESS_CONTROL_ALLOW_CREDENTIALS
HTTP_ACCESS_CONTROL_MAX_AGE

[r3verser]

Клиент, например браузер, сам добавит хедер origin если запрос будет кроссдоменный. Расскажи как ты и куда отправляешь запрос и кодес покажи клиентский и серверный.

[johnluxor]

Клиентский элементарный

Код: Выделить всё

<script>
    window.onload = function () {
        $(function () {
            $.get('http://api.url', function (data) {
                console.log(data);
            });
        });
    };
</script>

В серверном просто поведение установлено, и подключен стандартный Контролер, наследованный от ActiveController

Код: Выделить всё

public function behaviors()
    {
        $behaviors = parent::behaviors();
        $behaviors['authenticator'] = [
            'class' => HeaderParamAuth::className(),
        ];

        $behaviors[] = [
            'class' => Cors::className()
        ];

              return $behaviors;
    }

[r3verser]

В behaviors вместо

Код: Выделить всё

$behaviors[] = [
            'class' => Cors::className()
        ];

напиши

Код: Выделить всё

$behaviors['corsFilter'] = [
            'class' => \yii\filters\Cors::className()
        ];

[johnluxor]

Ничего не меняет. Перед класом используется use. Поведение работает, то есть проверка проходит, но не находит перечисленных мной выше ключей в массиве $_SERVER. Он проверяет их всех, и получается мне нужно передавать от клиента их всех? как то странно, по моему

[r3verser]

тут не в use дело а вместо
$behaviors[] = ... сделать $behaviors['corsFilter'] = ...

[johnluxor]

Так тоже пробовал, не помогает.

Само поведение срабатывает и делает проверку, но ждет что в $_SERVER будут параметры

HTTP_ORIGIN
HTTP_ACCESS_CONTROL_REQUEST_METHOD
HTTP_ACCESS_CONTROL_REQUEST_HEADERS
HTTP_ACCESS_CONTROL_ALLOW_CREDENTIALS
HTTP_ACCESS_CONTROL_MAX_AGE

Но их нет, их все должен передавать клиент?

[astronin]

у вас случайно не nginx стоит?

[johnluxor]

Именно он, есть особенности?

[r3verser]

теперь понятно, погугли nginx cross origin header

[astronin]

есть, его надо настроить для CORS
https://gist.github.com/michiel/1064640

[johnluxor]

К сожелению жоступа к конфигу не имею. Пришлось реализовать просто вручную отправлять заголовоки