Rails 处理跨站请求

AnguarlJS中的方法虽然可以直接进行jsonp跨域请求,不用像jQuery那样包装jsonp,不过依旧需要后端开启跨域,否则仍旧没办法数据交互:

已阻止跨源请求:同源策略禁止读取位于 http://localhost:3000/create 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

在需要的Controller或者放在application_controller里:

    skip_before_filter :verify_authenticity_token

    before_filter :cors_preflight_check
    after_filter :cors_set_headers

    # ...

    def cors_preflight_check
      if request.method == 'OPTIONS'
        headers['Access-Control-Allow-Origin'] = '*'
        headers['Access-Control-Allow-Methods'] = 'POST, GET, PUT, DELETE, OPTIONS'
        headers['Access-Control-Allow-Headers'] = 'Authorization,Origin,X-Requested-With,Content-Type,Accept,x-csrf-token'
        headers['Access-Control-Max-Age'] = '1728000'
        render :text => '', :content_type => 'text/plain'
      end
    end

    def cors_set_headers
      headers['Access-Control-Allow-Origin'] = '*'
      headers['Access-Control-Allow-Methods'] = 'POST, GET, PUT, DELETE, OPTIONS'
      headers['Access-Control-Allow-Headers'] = 'Origin, Content-Type, Accept, Authorization, Token'
      headers['Access-Control-Max-Age'] = '1728000'
    end

这里的 skip_before_filter :verify_authenticity_token是因为POST请求时会发生:
ActionController::InvalidAuthenticityToken

所以务必加上。

接着我们还需要在routes里修改,加上options的支持

resources :articles, via: [:options]

后端基本上就处理完了

植入部分

如果您觉得文章不错,可以通过赞助支持我。

如果您不希望打赏,也可以通过关闭广告屏蔽插件的形式帮助网站运作。

标签: 知识, 代码段, 语法, Rails

添加新评论