Discussion :

[youmpa]

Salut à tous,
J'essai de faire une requete en POST en javascript entre deux site.
J'ai vu qu'il fallait notament modifier les entêtes http côté site qui reçoit la requête seulement, quand j'envoi la requete, dans la réponse les entête ne sont pas modifié (et donc j'ai accès refusé). Par contre si j'envoi en GET les entêtes sont bien modifiées. Je voulais savoir si il peut y avoir une configuration serveur qui me refuse l'accès avant que ça n'arrive à l'endroit ou je modifit les entête.
Je précise que c'est des sites Drupal and Serveur ngnix.
Merci de ne pas me répondre utilise le GET au lieu de POST.

[Invité]

Utilise GET
Non je blague ... ta requête part d'un HTML client qui appelle
tout bêtement un PHP sur un site exactement comme si ton HTML
venait de valider un formulaire (FORM).

Rien d'autre a dire ! donc utilises un minimum vital, par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
//===blablabla
?>
<script type="text/javascript">
function maFonctionAjax(Mavariable)
{
  var MonAjax;
  if (window.XMLHttpRequest){ MonAjax = new XMLHttpRequest();}
  else if (window.ActiveXObject) {MonAjax = new ActiveXObject('Microsoft.XMLHTTP');}
  else {
    alert("Votre navigateur n'est pas adapté pour faire des requêtes AJAX..."); 
    MonAjax = false;   }
  MonAjax.open('POST',"url_de ton site/xx/tonphp.php",true);
  MonAjax.onreadystatechange = function()
  {
      if (MonAjax.readyState == 4 && MonAjax.status == 200)
      {
          document.getElementById('TonDiv').innerHTML = MonAjax.responseText;}
      }
  }
  MonAjax.setRequestHeader('Content-type','application/x-www-form-urlencoded');
  MonAjax.send('Mavariable='+Mavariable);                  
}
 maFonctionAjax("truc");
}
</script>

Voila
Christele

[youmpa]

C'était peut être pas claire mais c'est sur du cross domain, et j'ai une erreur du type 403 forbiden
XMLHttpRequest cannot load http://mon-server.com. Origin http://client.com is not allowed by Access-Control-Allow-Origin.

[Invité]

Oui il faudrait que tu ais le html sur ton micro,
et non pas venant d'un autre serveur ! car domaine a domaine
= piratage facile !
Christele

[Bovino]

Il faut dire aussi que tes explications sont assez vagues et manquent cruellement de code pouvant indiquer où se trouve ton erreur...

J'ai vu qu'il fallait notament modifier les entêtes http côté site qui reçoit la requête seulement

Non, ce n'est pas exactement ça !
Il faut surtout que ton serveur indique que les requêtes venant d'un autre domaine sont autorisées en envoyant un header spécifique.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Access-Control-Allow-Origin: http://example.com

par exemple.

[Invité]

C'est pas nouveau, mais sur un forum on en apprend tout les jours !
Merci a toi
Christele

[youmpa]

Ok donc côté client :
le js :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
var xdr = null;
if (window.XDomainRequest) {
	xdr = new XDomainRequest(); 
} else if (window.XMLHttpRequest) {
	xdr = new XMLHttpRequest(); 
} else {
	alert("Votre navigateur ne gère pas l'AJAX cross-domain !");
}
xdr.open("POST",  Drupal.settings.timer_developer_client_up.url
	+ '/timer_developper/server/test',true);
xdr.send('nid='+Drupal.settings.timer_developer_client_up.nid);

côté serveur :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 header('Access-Control-Allow-Origin:*');
  header('Access-Control-Allow-Credentials:true');
  header('Access-Control-Allow-Methods:POST');
  header('Access-Control-Allow-Headers:Origin,cache-control,content-type');
  header('Content-Type:text/html; charset=utf-8');

j'ai mis carrement * pour l'acess origin
J'ai mis en pièce jointe aussi les réponses en POST & en GET

[ultraxa]

Utilise GET
Non je blague ... ta requête part d'un HTML client qui appelle
tout bêtement un PHP sur un site exactement comme si ton HTML
venait de valider un formulaire (FORM).

Rien d'autre a dire ! donc utilises un minimum vital, par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
//===blablabla
?>
<script type="text/javascript">
function maFonctionAjax(Mavariable)
{
  var MonAjax;
  if (window.XMLHttpRequest){ MonAjax = new XMLHttpRequest();}
  else if (window.ActiveXObject) {MonAjax = new ActiveXObject('Microsoft.XMLHTTP');}
  else {
    alert("Votre navigateur n'est pas adapté pour faire des requêtes AJAX..."); 
    MonAjax = false;   }
  MonAjax.open('POST',"url_de ton site/xx/tonphp.php",true);
  MonAjax.onreadystatechange = function()
  {
      if (MonAjax.readyState == 4 && MonAjax.status == 200)
      {
          document.getElementById('TonDiv').innerHTML = MonAjax.responseText;}
      }
  }
  MonAjax.setRequestHeader('Content-type','application/x-www-form-urlencoded');
  MonAjax.send('Mavariable='+Mavariable);                  
}
 maFonctionAjax("truc");
}
</script>

Voila
Christele

ça me dit quelquechose, ça ressemble etrangement a ce que je veux faire

[Bovino]

C'est pas dans ton code PHP qu'il faut mettre les header, parce que là, tu t'es déjà fait jeter par le serveur !
Alors je ne saurais te dire pour Nginx, mais pour Apache, c'est dans le .htaccess.

EDIT : Ah ben non, après vérification, il semble que ce soit effectivement possible en mettant les header en PHP...

[youmpa]

Oui oui c'est ce que je lisais (disais) que normalement header() en php change les entête http, après je ne sais pas (et je trouve pas grand chose sur le net) si ngnix prend le dessus quand même, ou quand j'arrive à l'endroit ou je modifit l'entete c'est déjà trop tard, à priori je n'ai pas vus passé non plus de topic sur le sujet (probématique de chargement etc)

[Invité]

C'est pas dans ton code PHP qu'il faut mettre les header, parce que là, tu t'es déjà fait jeter par le serveur !
Alors je ne saurais te dire pour Nginx, mais pour Apache, c'est dans le .htaccess.
EDIT : Ah ben non, après vérification, il semble que ce soit effectivement possible en mettant les header en PHP...

Mon Ami Bovino va te mettre d'accord avec lui

http://www.developpez.net/forums/d10...ne-fonctionne/

A++ et
Christele

[youmpa]

mouai.. j'y est crus aussi mais ça n'est pas vraiment le même cas puisque lui il arrive à voir dans la réponse les entête modifié, or moi ça ne me les renvoi même pas.
Au passage merci de votre aide & rapde en plus!

[youmpa]

J'ai entendu dire que chrome refuse le cross domain......

[Invité]

J'ai entendu dire que chrome refuse le cross domain......

Arhhhhh... nous voila mal parti ... que vient faire le navigateur dans cette affaire, ce sont les serveurs qui se protégent
A++
Christele

[Bovino]

J'ai entendu dire que chrome refuse le cross domain....

Ecoute ailleurs !
http://caniuse.com/#search=cors

[thelvin]

Edit : apparemment, indiquer le Content-Type est obligatoire dans une requête POST.
Non, je ne comprends pas en quoi ça peut gêner l'envoi des headers, mais peut-être qu'ils ne sont envoyés que dans certaines conditions.

une possibilité serait que, en l'absence de Content-Type, la requête soit automatiquement preflighted, et donc précédée d'une requête OPTIONS au lieu de directement POST.
Cette requête OPTIONS serait mal comprise par le serveur, et ne passerait pas par la page PHP prévue, faisant une réponse étrange et c'est ça dont on verrait les headers.
Ces headers n'autorisant pas la requête, le navigateur n'essaie même pas de faire le POST, et remonte directement l'erreur de permission non accordée. Raison pour laquelle à aucun moment le serveur n'a eu l'occasion d'envoyer les headers d'autorisation : on est jamais passé sur le bout de code qui l'envoie.

Arhhhhh... nous voila mal parti ... que vient faire le navigateur dans cette affaire, ce sont les serveurs qui se protégent

Bah, les serveurs disent chacun de leur côté au navigateur s'ils acceptent la communication cross-domain, mais c'est le navigateur qui peut la faire vraiment ou pas, donc c'est lui qui décide.
Évidemment, pour ne pas que son utilisateur se fasse mettre dedans, il est censé respecter la volonté du site contacté par un autre.

[youmpa]

Merci pour vos réponses!

Ecoute ailleurs !
http://caniuse.com/#search=cors

Pourtant c'était sur le chat de developpez

J'ai essayer de mettre OPTIONS & POST dans les allowed method
Après comme tu me dis que ce ne passe même pas dans la page concernée je peut toujour essayer de mettre ça à la bourrin dans l'index.php (je suis sous Drupal pour rappel, à prioris j'ai bien regarder ça n'est pas Drupal qui m'empêche, & que je me mette en début ou fin de bootstrap c'est la même).
Mais sinon toi que préconise tu d'essayer? Je dois mettre un content-type dans le script qui fait l'appel ajax?
Y a til à votre conaissance une configuration de serveur (je suis sous ngnix pour rapel) qui bypass le php?

[thelvin]

J'ai essayer de mettre OPTIONS & POST dans les allowed method
Après comme tu me dis que ce ne passe même pas dans la page concernée je peut toujour essayer de mettre ça à la bourrin dans l'index.php (je suis sous Drupal pour rappel, à prioris j'ai bien regarder ça n'est pas Drupal qui m'empêche, & que je me mette en début ou fin de bootstrap c'est la même).

De toute façon, PHP c'est pas mon truc.

Mais sinon toi que préconise tu d'essayer? Je dois mettre un content-type dans le script qui fait l'appel ajax?

Oui. Toujours, quand on fait un POST. Ce n'est pas optionnel.

[youmpa]

Bon je sais pas trop quoi dire..... j'ai trouvé une solution, faire ma requete via jquery

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$.ajax({
    type: 'POST',
    url:  Drupal.settings.timer_developer_client_up.url
	+ '/timer_developper/server/test',
    crossDomain: true,
    data: '{"some":"json"}',
    dataType: 'json',
    success: function(responseData, textStatus, jqXHR) {
        var value = responseData;
        alert(responseData);
    },
    error: function (responseData, textStatus, errorThrown) {
        alert('POST failed.');
    }
});

côté serveur je n'ai besoin que de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header('Access-Control-Allow-Origin: http://test.com');;

[Bovino]

Ta réponse doit être du JSON ?
Dans ce cas, pas besoin de passer par AJAX, une simple création de script suffit, c'est d'ailleurs comme ça que fonctionne jQuery et c'est pour ça que ça fonctionne avec.