如何解决最新的Chrome 85更新后的CORS问题
我在这里是一个非常新的用户,因此,如果我违反任何规则,请提前道歉。这是我面临的问题,请提出建议。
我有一个Chrome扩展程序,可与Gmail配合使用,并通过Rails应用程序的Phusion Passenger服务器从运行在Nginx上的Web服务器使用API。
我的Nginx版本是Nginx版本:Nginx / 1.15.8,而Phusion Passenger版本是Phusion Passenger Enterprise 6.0.1
我在Nginx中具有CORS设置,如下所示:
####### CORS Management ##########
add_header 'Access-Control-Allow-Origin' 'https://mail.google.com,https://*.gmail.com';
add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,PUT,DELETE,HEAD';
add_header Referrer-Policy "no-referrer";
add_header Pragma "no-cache";
##################################
它一直可以工作到Chrome 84,但是,随着Chrome 85的最新更新,它开始引发CORS错误,如下所示:
########## Chrome 85中开始出现错误############
访问CORS策略已阻止从来源“ https://mail.google.com”在“ https://my-site.com/”处获取信息:没有“ Access-Control-Allow-Origin”标头在请求的资源上。
########################################
此后,我根据各种来源和博客的建议/参考将CORS设置更新为完全开放,现在更新的CORS设置如下所示:
Nginx中的更新的CORS设置
location / {
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' $http_origin always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Methods' 'GET,OPTIONS' always;
#
# Custom headers and headers varIoUs browsers *should* be OK with but aren't
#
add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type' always;
#
# Tell client that this pre-flight info is valid for 20 days
#
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain charset=UTF-8' always;
add_header 'Content-Length' 0 always;
return 204;
}
if ($request_method = 'POST') {
add_header 'Access-Control-Allow-Origin' $http_origin always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Methods' 'GET,OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'DNT,Content-Type' always;
}
if ($request_method = 'GET') {
add_header 'Access-Control-Allow-Origin' $http_origin always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Methods' 'GET,Content-Type' always;
}
}
##########################################
在Nginx中更新此设置后,CORS错误消失了,但是现在当扩展程序调用API时,我从服务器收到401未经授权错误。
我尝试调整所有方法,但无法修复。有什么我想念或做的不同吗?
请帮助!
解决方法
这个规范的影响不是吗?
Chrome扩展程序内容脚本中对跨域请求的更改 https://www.chromium.org/Home/chromium-security/extension-content-script-fetches
,我有同样的问题。我的解决方案是(如上面的链接中所述)将Http-Requests移到后台内容脚本中。您需要向后台脚本发送一条消息,然后从那里执行请求。
收到响应后,您需要向内容脚本发送一条消息,您可以在其中处理响应数据。
ContentPage BackgorundPage
-- RequestData -->
Initialize the request and return to the content script
.... some time later....
Callback of HttpRequest is finished
<-- handleResponse-- (In callback handler)
内容脚本:
var msg = new Object();
msg.message = "loadOrders";
chrome.runtime.sendMessage(msg);
背景脚本:
chrome.runtime.onMessage.addListener(
function (msg,sender,sendResponse) {
if( msgName=="loadOrders") {
doXHRRequest( function(responseData) {
sendMessageToActiveTab(responseData);
});
}
function sendMessageToActiveTab(responseData) {
var msg = new Object();
msg.message = "receiveOrders";
msg.orderList = JSON.parse(Http.responseText);
chrome.tabs.query({active: true,currentWindow: true},function(tabs) {
chrome.tabs.sendMessage(tabs[0].id,msg);
});
}
最后是内容脚本:
chrome.runtime.onMessage.addListener(function(message,callback) {
if( message.message == "receiveOrders") {
receiveOrderList(message.orderList);
}
return;
});
如 https://developers.google.com/web/updates/2020/07/chrome-85-deps-rems
chrome将拒绝不安全的SameSite =无cookie
不再支持使用SameSite设置为None且没有Secure属性的cookie。任何请求SameSite = None但未标记为“安全”的cookie将被拒绝。该功能于2020年7月14日开始向Stable Chrome用户推出。有关完整的时间表和详细信息,请参见SameSite更新。通过网络攻击者可以对通过明文渠道传递的Cookie进行分类或修改。对于用于跨站点使用的Cookie,需要安全传输以减少这种风险。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。