Discussion :

[laclac]

Bonjour,

j'ai fais sur mon site une api en php qui est appelé par des clients en javascript.

Je test pas mal mais api en local, mais j'ai récemment fais un script JS pour tester mes api en prod directement sur mon site.
Dont voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
TestU._testRequest = function(url) {
   var result;
   var req = new XMLHttpRequest();
   req.open('GET', url,false);
   req.addEventListener('load', function () {result = req.responseText;});
   req.send();
  return result; 
}
TestU._testRequest("https://www.monsite.com/api.php?value=test"); // j'ai changé l host de l'url, monsite ne sappellant pas vraiment monsite  :)

Le problème est que mon script ne fonctionne pas quand je le fais pointé de api de prod.
Dans le navigateur j'ai une erreur:

Blocage d’une requête multiorigines (Cross-Origin Request) : la politique « Same Origin » ne permet pas de consulter la ressource distante située sur https://www.monsite.com/api.php?value=test. Raison : l’en-tête CORS « Access-Control-Allow-Origin » est manquant.

A noter que je teste en local, l'origin est donc 127.0.0.1.
Mozilla a une page sympa en parlant, mais il ne detaille pas spécialement comment corriger. A priori, je dois faire coté serveur peut etre coté client, mais je ne sais pas quelle ligne mettre.
Note: Mon api est public et ne nécéssite pas de crédentiale.

Merci d'avance pour votre aide sur la résolution de mon probleme.

Note: Ce que je trouve encore plus bizarre est que mon logiciel client qui possède le meme code n'a ce probleme (peut etre car il ,'est pas executé par un navigateur) C'est pas très grave tant que ca marche.

[SpaceFrog]

mets un header php sur ta page

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Access-Control-Allow-Origin: *");

[laclac]

Super merci ca a marché.

Tu sais si par hasard, c'est vraiment propre aux navigateurs web ?
Car mon client est en faite une extension chrome pour etre précis, et il fonctionne sans la commande php.

Donc si je peux m'en passer (en dehors de mon script de tests) j'aimerais bien m'en passer car je ne veux pas spécialement qu'un site tape dans mon api.
A l'inverse, si au contraire je dois la mettre car mon extension chrome fonctionne par "miracle", je la garderais.

[SpaceFrog]

Ce n'est pas propre au navigateur, mais au serveur, c'est le serveur qui autorise ou non la requête cross domaine.

[laclac]

Raf j'aurais su jaurais pas fait mon test auto en javascript.

Car je suis chez .byethost.com en plan gratuit et la ligne de code de résoud pas le probleme.
Alors que le meme code fonctionne ailleurs.

J'ai limpression que cet hebergeur bloque le CORS. c'est possible ?

[Séb.]

Car mon client est en faite une extension chrome pour etre précis, et il fonctionne sans la commande php.

CORS doit être pris en charge par le client et le serveur pour être pleinement fonctionnel.
De ce que je comprends, c'est le client qui refuse de récupérer la data si le serveur ne spécifie pas accepter les requêtes cross-origin (réponse "opaque" ou un truc dans le genre).
Les requêtes cross-origin ont été désactivées sur Chrome il y a quelques temps.
Seul moyen de pouvoir en faire sans que le serveur ne les accepte => Via un script en background d'extension
=> Des infos : https://www.chromium.org/Home/chromi...ontent-Scripts