Access Control Origin avec Angular

Version imprimable

Bonsoir,

J'ai fais de nombreuses recherches et essais, mais mes requêtes du front (Angular) vers mon back (NodeJs) sont toujours bloqué par le CORS.

Voici ce que j'ai avant chaque requête :
Code:

1 2 3 4 res.header("Access-Control-Allow-Origin", "http://domaine.com/"); res.header("Access-Control-Allow-Methods", "GET,PUT,POST,DELETE,PATCH,OPTIONS"); res.header("Access-Control-Allow-Headers", "X-Requested-With,content-type");
Ce que j'ai essayé de mettre dans le .htaccess :
Header set Access-Control-Allow-Origin "*"

Ce que j'ai essayé de mettre dans le app.js :
app.use(cors({origin: 'http://domaine.com/'}));

J'ai essayé en mettant les 3 à la fois, chacun séparément, etc. J'ai l'impression que la ligne dans .htaccess et dans app.js ne sert à rien.
Si je laisse les 3 lignes avant chacune de mes requêtes, j'obtiens cette erreur :

Code:

Response to preflight request doesn't pass access control check: The 'Access-Control-Allow-Origin' header contains multiple values 'http://domaine.com/, *', but only one is allowed.

Nul part je n'ai mis une autorisation pour l'origine "*".

Si j'enlève la première ligne "res.header("Access-Control-Allow-Origin", "http://domaine.com/");" j'obtiens cette erreur :

Code:

Request header field access-control-allow-origin is not allowed by Access-Control-Allow-Headers in preflight response.

Quelqu'un a une idée ?
Est-ce que ça pourrait venir de mon serveur ?

Merci :)

21/08/2019, 17h46
Marco46

Citation:

Nul part je n'ai mis une autorisation pour l'origine "*".

Ben si via Apache et tu l'indiques ici :

Citation:

Ce que j'ai essayé de mettre dans le .htaccess :
Header set Access-Control-Allow-Origin "*"

Soit tu configures CORS sur ton application, soit tu le fais via ton serveur web mais si tu commences à diviser la responsabilité de cette tâche (configurer CORS) entre différents composants tu vas t'y perdre.

Je te conseille de la faire sur ton application uniquement pour commencer. Donc oublie Apache pour ça.

A noter que le wildcard * est interdit par certains navigateurs (Chrome par exemple).
23/08/2019, 22h08
Eva06

2 pièce(s) jointe(s)

J'ai enlevé la ligne dans .htaccess et dans app.js

Il me reste seulement ceci :
Pièce jointe 499294

Quand on regarde l'en-tête sur le navigateur (firefox), on voit ceci :
Pièce jointe 499296

J'ai contacté mon serveur, ils n'ont pas de configuration par défaut à ce niveau, et j'ai beau fouiller mon code, je ne trouve nul part la déclaration Origin : *

Est-ce que ça pourrait venir d'un package ?
24/08/2019, 11h06
Marco46
Oui, tu peux poster les propriétés dependencies et devDependencies de ton package.json ?

Je pense notamment au package cors. As-tu un bout de code de ce style ?
Code:

1 2 3 4 const cors = require('cors'); // ... app.use(cors());
Il me semble que la config par défaut de ce module met le wildcard.
24/08/2019, 11h11
Eva06

1 pièce(s) jointe(s)

Oui bien sur, les voici :

Pièce jointe 499327
24/08/2019, 15h00
Marco46

A ta place je mettrais dans les logs (tu as une solution pour log tes requêtes ?) les headers http de chaque requête pour déterminer si c'est ton code ou le serveur de ton hébergeur qui ajoute le Access-Control-Allow-Origin avec le wildcard.

Tu seras où chercher après ça.

Comment ça marche pour ton hébergement ? Tu parlais de Apache mais ça ça n'a pas de rapport avec node. C'est pour ton front Angular ? C'est le backend qui pose ces headers. Tu devrais avoir dans ton code back une partie qui s'occupe de lancer un serveur. Après il y a peut être chez ton hébergeur un proxy entre ton front et ton backend. Et peut être que c'est lui qui pose ce header.

Bref faudrait savoir comment ton architecture est foutue.
24/08/2019, 16h09
Eva06

J'ai fais des tests en local, je n'ai aucun wildcard qui apparaît dans le header des requêtes. Ça provient donc de mon serveur, pourtant je les ai contacté à ce sujet, ils m'ont dit que ça ne venait pas de chez eux.

Je suis sur l'hébergeur O2Switch, et pour NodeJs, ils utilisent ceci : https://docs.cloudlinux.com/lve_mana...-js-selector-2

Je n'ai pas parlé d'Apache en particulier mais du fichier .htaccess pcq c'est une des solutions que j'ai trouvé sur le net, notamment en ce qui concerne le routage.
24/08/2019, 21h07
Marco46

Citation:

Je n'ai pas parlé d'Apache en particulier mais du fichier .htaccess pcq c'est une des solutions que j'ai trouvé sur le net, notamment en ce qui concerne le routage.

.htaccess est un fichier de configuration de Apache (le serveur web). Si tu n'as pas d'Apache installé ce fichier ne sert à rien.

Citation:

J'ai fais des tests en local, je n'ai aucun wildcard qui apparaît dans le header des requêtes. Ça provient donc de mon serveur

Ton serveur node est-il exécuté de la même manière que tu sois en local ou sur leur serveur ?

Citation:

Je suis sur l'hébergeur O2Switch

De mémoire j'ai déjà vu passer des messages ici à propos de cet hébergeur et il me semble bien qu'ils ne supportent pas node par défaut il faut bidouiller mais ça a peut être changé.
24/08/2019, 22h48
Eva06

J'ai fini par trouver. J'avais un fichier .htaccess dans un autre dossier, avec le wildcard...

Du coup la connexion se fait bien, merci Marco46 :)