Плагин предназначен для решения очень специфической проблемы, которая возникает, когда вы пытаетесь использовать OAuth2 и JavaScript вместе в приложении браузера.
До настоящего времени это было неосуществимо, поскольку использование заголовка Authorization в запросе заставляло бы браузер отправлять предварительный запрос CORS. Запрос является запросом OPTIONS, и поскольку он не является GET, PUT, POST или DELETE; По умолчанию IPS обрабатывает его как запрос GET. В результате предварительный запрос не выполняется, и пользователь полагается на какой-либо прокси-сервер для отправки запроса с помощью PHP или другого серверного языка.
Плагин расширяет класс диспетчера API и обрабатывает и генерирует действительный ответ предполетного запроса CORS со следующими заголовками:
- Access-Control-Allow-Methods
Генерируется автоматически из методов вызываемой конечной точки. Поддерживает GET и POST, заголовок разрешенных методов будет содержать GET, POST, но не PUT или DELETE.
- Access-Control-Allow-Headers
Генерируется автоматически из заголовка запроса "Access-Control-Request-Headers", чтобы разрешить передачу любых заголовков в запросе. Это не самый безопасный метод, но это версия 1.0.0, возможно, я буду реализовывать настройку для определенных заголовков в будущей версии.
- Access-Control-Allow-Origin
Генерируется из настроек плагина (см. Скриншот). Он оценивает заголовок «Origin» (или «Referer») и, если запрос поступает из одного из доменов, занесенных в белый список в настройках плагина, он устанавливает значение заголовка «Access-Control-Allow-Origin» в качестве домена запроса. В противном случае заголовок не будет установлен и запрос CORS не будет выполнен.
ПРИМЕЧАНИЕ. Установка «*» в качестве одного из разрешенных доменов разрешит запросы CORS из любого домена. Это создает возможную уязвимость XSS, и я бы не рекомендовал устанавливать эту опцию.
Щоб залишити відгук, створіть акаунт або авторизуйтесь
Відгуків немає