Discussion :

[ouioui2000]

Bonjour,

Je veux utiliser Ajax pour charger des données issu d'un premier serveur "www.sitePourLogin.fr" depuis un second serveur "www.mySite.fr"

Si j'utilise Ajax simplement sur le server www.mySite.fr

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
    $.ajax({type: 'POST', url : 'www.sitePourLogin.fr/formlogin',cache: false, 
    success: function(data){ 
    console.log(data);
        if (data=='KO') { 
            alert('Pas de login');
        } else {
            $('#login').html(data);
        }
    }
});

J'ai l'erreur suivante :

XMLHttpRequest cannot load http://www.sitePourLogin.fr/formlogin. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.mySite.fr' is therefore not allowed access.

Après recherche, il semble XMLHttpRequest utilisé entre différents domaines est interdit pour des raisons de sécurités. J'ai lu qu'il faut passer par du jsonp
J'ai donc codé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
    $.ajax({type: 'POST', url : 'www.sitePourLogin.fr/formlogin',cache: false, 
        dataType:'JSONP' ,
        contentType:"application/json; charset=utf-8",
    success: function(data){ 
    console.log(data);
        if (data=='KO') { 
            alert('Pas de login');
        } else {
            $('#login').html(data);
        }
    }
});

Mais ici j'ai l'erreur

Uncaught SyntaxError: Unexpected token :

Sur mon data très simple de retour {"login_form":"toto"}

A noter que dataType:'JSON' reviens à la première erreur.

Je suis bloqué.
Aurriez-vous des pistes de résolution ?

Merci beaucoup pour vos suggestions

[mathieu]

J'ai l'erreur suivante :

XMLHttpRequest cannot load http://www.sitePourLogin.fr/formlogin. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://www.mySite.fr' is therefore not allowed access.

configure l'entête HTTP Access-Control-Allow-Origin de la page, c'est peut être suffisant pour autoriser l'accès

si par exemple c'est du PHP, ajoute ce code :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Access-Control-Allow-Origin: http://www.mySite.fr");

[Spartacusply]

Je crois que cela ne suffira pas, personnellement je ne connais pas de méthode permettant d'outrepasser l'interdiction d cross-domain en ajax.

La bonne manière de procéder dans ces cas là, c'est de passer par un script interne qui lui appellera la page voulue (avec curl par exemple) et renverra le résultat à la page.

[ouioui2000]

Merci, une sacré épine du pied enlevé :-)
J'utilise Symfony2, une réponse avec 'Access-Control-Allow-Origin' = '*' a résout mon problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$response = new Response($this->renderFormLogin());
$response->headers->set('Access-Control-Allow-Origin', '*');
return $response;

Par contre, Je suis maintenant confronté à un problème de "Invalid CSRF token" avec symfony2.
Le formulaire de login content bien un CSRF token généré par le serveur. Le formulaire marche bien sur le même domaine mais si je change de domaine, j'ai cette erreur "Invalid CSRF token".

[Invité]

En modifiant les entêtes de la requête, vous n'avez fait que déplacer le problème et peut être créer d'autre problèmes de sécurité.
La solution est celle proposée par Spartacusply. Faire un script proxy qui fera la requête au serveur tiers.

[ouioui2000]

Je comprend.
L'utilisation de curl pour générer le html du formulaire de login me semble une bonne idée. ce site le décrit bien.
Mais je ne vois pas pourquoi le jeton CSRF serait plus valide avec un accès Curl plutôt que par requête xmlhttprequest. Je vais plutôt chercher du coté symfony2 le fonctionnment de validation de ce jeton CSRF et tenter le contourner.

Merci d'avoir pris le temps de répondre, cela m'a fait avancer.

[ouioui2000]

J'ai codé un acces via curl car cela semble effectivement plus propre.
A toutes fins utiles, voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$cred_data = array();
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://www.monSite.net/tilogin');
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($cred_data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_COOKIESESSION, true);
curl_setopt($ch, CURLOPT_HEADER, false);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_setopt($ch, CURLOPT_FRESH_CONNECT, true);
$result = curl_exec($ch);
 
echo $result;

https://www.monSite.net/tilogin revoie le html du formulaire de login.