Slim 框架上 CORS 期間的預檢授權標頭

Question

現在我遇到了 CORS（跨源資源共享）的問題，尤其是在嘗試向 slim api 發送授權時。 我試圖刪除 jquery 上的授權標頭，它就像一個魅力！ 但是我需要授權才能傳遞 api 密鑰，我不知道如何繞過預檢模式（選項）。 這是javascript代碼。

$.ajax({
    type:'GET',
    url:baseApi+'/code/account',
    crossDomain:true,
    xhrFields:{
        withCredentials:true
    },
    beforeSend:function(xhr){
        $overlay.css('display','block');
        xhr.setRequestHeader("Authorization",boot._header);
    },
    complete:function(xhr){
        // complete scope        
    }
});

在超薄框架上，我已經使用白名單源域 (www.example.com) 設置了Access-Control-Allow-Origin 。 這是完整的配置

if (isset($_SERVER['HTTP_ORIGIN'])) {
    if($_SERVER['HTTP_ORIGIN'] == "http://www.example.com"){
        header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
    }
    header('Access-Control-Allow-Credentials: true');
    header('Access-Control-Max-Age: 86400');    // cache for 1 day
}

if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {

    if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD']))
        header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");

    if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']))
        header("Access-Control-Allow-Headers: Authorization, authorization, Content-Type");
}

這是完整的請求和響應標頭

響應頭

HTTP/1.1 404 Not Found
Date: Tue, 14 Feb 2017 14:44:34 GMT
Server: Apache/2.4.23 (Unix) OpenSSL/1.0.2h PHP/5.6.24 mod_perl/2.0.8-dev Perl/v5.16.3
X-Powered-By: PHP/5.6.24
Access-Control-Allow-Origin: http://www.example.com
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 86400
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Headers: Authorization, authorization
Content-Length: 514
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html;charset=UTF-8

請求頭

OPTIONS /code/account HTTP/1.1
Host: api.example.com
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: http://www.example.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Access-Control-Request-Headers: authorization
Referer: http://www.example.com/account/payout
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8,id;q=0.6,ms;q=0.4
Accept: */*

我已經嘗試了其他人的可能解決方案，但沒有機會解決這個問題。 總是顯示 404 調用 OPTIONS 方法，而不是像它應該的那樣 GET 方法。

Answer 1

經過研究和調查，我最終按照@Mika Tuupola 的建議使用了 Slim 的 CORS 中間件。 但是由於我使用的是 Slim v2，這個 repo https://github.com/palanik/CorsSlim適合我。 如果您使用的是 Slim v3，請使用我們的救星創建的這個 repo https://github.com/tuupola/cors-middleware 。 希望能幫助到你！

Answer 2

對於 Slim Framework 2.4 版本，我做了一個小技巧來解決 Preflight OPTIONS 請求

\Slim\Slim::registerAutoloader();

$app = new \Slim\Slim();
    if($app->request->isOptions()) {
        return true;
        break;
    }
    $app->post('/authenticate', 'authenticateUser');

$app->run();

所以這將跟蹤所有 OPTIONS 請求並返回 true 並且它對我有用。

我的 .htaccess 文件如下

Header add Access-Control-Allow-Origin "*"
Header add Access-Control-Allow-Headers "X-Requested-With, Content-Type, Accept, Origin, Authorization"
Header add Access-Control-Allow-Methods "GET, POST, OPTIONS"

希望這可以幫助。