WordPress CORS问题一例

已于 2023-11-11 13:52:29 修改
阅读量977 收藏
点赞数
分类专栏: web 文章标签: php
于 2023-05-27 11:21:40 首次发布
未经书面授权许可,任何个人和组织不得以任何形式转载、引用本人的任何文章。本人保留追究侵权者法律责任的权利。
本文链接:https://blog.csdn.net/zhu6188/article/details/130899048
版权


(本文最先发表于Zhu’s Blog,未经书面授权许可,任何个人和组织不得以任何形式转载、引用本人的任何文章。本人保留追究侵权者法律责任的权利。)

  本文记录阿猪在使用WordPress REST API为跨站应用做身份认证时遇到的一例CORS问题。经过一番折腾,最后发现问题出在使用的REST API Authentication插件在处理HTTP请求时与WordPress原生的REST API有重复。

  在WordPress的原生REST API中,支持Cookie Authentication和Basic Authentication两种认证方式。然而目前比较主流的认证方式是Json Web Token(简称JWT)和OAuth2.0,需要借助第三方插件实现。以JWT为例,基本逻辑是使用POST方式向生成token的endpoint发送用户名和密码,如果用户名、密码正确,则返回的Headers中会包含token信息,后续使用REST API时,只要每次在Header中包含Authorization: Bearer <json-web-token>就可以了。

  阿猪最先使用的是miniOrange出品的WordPress REST API Authentication插件。在WordPress中和在本地测试请求生成token都正常,但是在跨站应用中测试时,浏览器的控制台却报错:Access to fetch at 'https://azhu.site/wp-json/api/v1/token-validate' from origin 'https://xxx.azhu.site' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

  CORS policy是什么鬼?出于安全考虑,浏览器默认会执行同源策略(Same-origin policy),只有同源(URI、主机名、端口相同)的两个页面才被允许相互访问资源。但是在WEB应用中,跨站访问资源是很常见的需求,这就涉及到“跨源资源分享”(Cross-Origin Resource Sharing)的问题。

  经过百度和ChatGPT的一通搜索,大部分的回答是说Nginx的配置不正确,没有开启Access-Control-Allow-Origin这个Header。按照ChatGPT的指导在Nginx的配置文件中添加了相应的Header信息的配置后,可以正常生成token了。以下代码供参考:

http {
    ...
    server {
        ...
        location / {
            ...
            add_header 'Access-Control-Allow-Origin' 'https://xxx.azhu.site';//将url替换为*表示允许所有访问源
            add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
            add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
            ...
        }
        ...
    }
    ...
}

  这里顺便说一下,如果你和阿猪一样使用的是OneinStack的LNMP+WordPress全家桶,那么Nginx的配置文件位置是在/usr/local/nginx/conf/vhost/wordpress.conf,而不是在/usr/local/nginx/conf/nginx.conf

  但是还没高兴多久,很快又产生了新的问题。阿猪使用生成的jwt通过GET方式向WordPress REST API请求登录用户信息的时候,浏览器的控制台出现如下错误信息:
Access to fetch at 'https://azhu.site/wp-json/wp/v2/users/me' from origin 'https://xxx.azhu.site' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values 'https://xxx.azhu.site, https://xxx.azhu.site', but only one is allowed. Have the server send the header with a valid value, or, if an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.
在这里插入图片描述
  再次经过百度和ChatGPT的一通搜索,大部分的回答是说Nginx的配置不正确,有重复的Access-Control-Allow-Origin配置。但是阿猪翻遍了Nginx目录下的所有conf文件,也没有找到重复的Access-Control-Allow-Origin配置。如果把仅有的Access-Control-Allow-Origin配置删除,则又会回到最初的 No 'Access-Control-Allow-Origin' header is present on the requested resource问题。阿猪又尝试了各种搜索到的办法,但是仍然没有解决。

  后来阿猪想,会不会是WordPress的程序中也有响应Headers信息的语句,从而导致了这个问题。毕竟先前验证token的时候使用的也是GET方法,响应是正常的,没有道理同样是GET请求,服务器区别对待。再仔细对比两个endpoint的路径,一个是第三方插件生成的/wp-json/api/v1/token-validate,一个是WordPress原生的/wp-json/wp/v2/users/me。可能是第三方插件和WordPress都在同一个HTTP请求中输出了headers信息,从而导致了重复。搜索了一下WordPress的代码,果然有几个文件中包含Access-Control-Allow-Origin

  阿猪首先尝试更换JWT插件,毕竟如果换个插件能解决,就可以省去改代码的麻烦了。这次阿猪运气好,换了Enrique Chavez的JWT Authentication for WP-API插件后,问题解决了。如果你也正在被这个问题困扰,希望这篇文章能帮助到你。

猪哥哥021
关注
专栏目录
CDN加速WordPress触发CORS导致跨域加载失败
青年IT男
04-09 1948
这两天折腾CDN加速来提升自己博客的访问速度,用的阿里云CDN加速方案;使用的时候发现一个问题,部分资源CDN加速失败,原因是触发了CORS,因为CDN加速网址与博客网址不一致引发的跨域请求不成功; 从报错中发现Off与Tff字体加载报错: (index):1 Access to Font at 'http://cdn.5yun.org/wp-content/themes/yusi1....
一到两年工作经验的看完这些面试轻松拿offer
NNCC1022的博客
12-28 781
java经常遇到的基础面试题
wordpress-api-cors:一个简单的 hackplugin,它将允许新的 WP-API 也可以在跨域环境中工作(启用 CORS
06-21
为新的 Wordpress JSON API 启用 CORS 直到被修复,这里是一个独立的插件,将启用 CORS 您可能希望通过运行 get_http_origin() 结果的字符串比较来限制响应。 警告:未积极维护 请注意,我并没有积极维护这个项目。 考虑切换到以获得更好的体验。 谢谢! 用法 cd wp-content/plugins git clone https://github.com/bjoernklose/wordpress-api-cors.git wp-json-api-cors (如果你安装了优秀的 wp plugin activate wp-json-api-cors
cors漏洞 复现_WordPress 5.2.4 CORS 漏洞复现
weixin_30481539的博客
02-06 411
0x01 简介WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。CORS(Cross-origin resource sharing:跨域资源共享)是一个浏览器的一种机制。如果一个网站没有通过http协议向浏览器响应 Access-Cont...
CORS 报错】跨域请求问题CORS 多种环境下的解决方案
最新发布
Allen-
07-11 5015
CORS问题是前端开发中常见的一个挑战,但通过合理的代理配置和服务器设置可以有效解决。在不同环境下,可以使用Vite的代理功能、设置请求头、JSONP、服务器端代理、Nginx代理等多种方式来解决跨域问题
wordpress 5.2.4-CORS跨域劫持漏洞复现
PANDA墨森的博客
08-22 1184
#001 漏洞简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。通过该标准,可以允许浏览器向跨源服务器发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制,进而读取跨域的资源。CORS允许Web服务器通知Web浏览器应该允许哪些其他来源从该Web服务器的回复中访问内容 漏洞产生原因:在Access-Control-Allow-Origin中反射请求的Origin值。该配置可导致任意攻击者网站可以直接跨域读取其资..
Kali linux 学习笔记(四十一)Web渗透——扫描工具之w3af 2020.3.18
闵行小鱼塘
03-18 1441
扫描工具之w3af
前端面试八股文(超详细)
m0_67403076的博客
06-21 1万+
Promise 是一种为了避免回调地狱的异步解决方案 2. Promise 是一种状态机: pending(进行中)、fulfilled(已成功)和rejected(已失败) 只有异步操作的结果,可以决定当前是哪一种状态,任何其他操作都无法改变这个状态。回调地狱回调函数中嵌套回调函数的情况就叫做回调地狱。 回调地狱就是为是实现代码顺序执行而出现的一种操作,它会造成我们的代码可读性非常差,后期不好维护。Promise是最早由社区提出和实现的一种解决异步编程的方案,比其他传统的解决方案(回调函数和事件)更合理和
盘点近年来的各国各行较知名的互联网安全事件
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
ArcGIS Server 报错 set the request‘s mode to ‘no-cors‘ to fetch the resource with CORS disabled.
qq_51165365的博客
05-27 2208
ArcGIS Server 报错 同一电脑同一请求同一服务数据,关掉一个数据服务请求(前端或其他),F12,长按鼠标右键,清除缓存即可。
问题解决:跨域访问错误
dengjiayue的博客
05-09 3961
简单来说就是我在我的桌面的html文件中有访问wsl的域名,然后两个域名不一样,就会触发保护机制,如果这时你的服务端没有添加跨域的许可(对我来说就是添加桌面的html可以访问路径的许可),就会找不到路径返回404。我们可以使用一个中间件函数来处理跨域的验证,因为如果跨域,浏览器要先发送一个请求方法为: OPTIONS的请求来判断,需要返回一个200才会发送剩下的请求,使用我们定义跨域访问许可中间件函数。在相应的时候在setheader函数中添加允许跨域访问的路径(我这里嫌麻烦还是用的*)
【GeoServer】 geoserver 跨域问题
weitaming1的博客
11-13 1225
一、问题描述: Access to fetch at 'http://localhost:8089/geoserver/wfs' from origin 'http://localhost:63342' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the re...
Hive2.0.0操作HBase 1.2.1报错解决
至道
05-28 1825
org.apache.hive.service.cli.HiveSQLException: Failed to open new session: java.lang.RuntimeException: org.apache.hadoop.ipc.RemoteException(org.apache.hadoop.security.authorize.AuthorizationException): User: hadoop is not allowed to impersonate hive at or
but only one is allowed(重复处理跨域请求)
07-30 2万+
Access to XMLHttpRequest at 'http://192.168.0.144:8762/ctginms_main2019/api/traceRoute/getMapData' from origin 'http://localhost:8080' has been blocked by CORS policy: The 'Access-Control-Allow-Origin...
WORDPRESS REST API 学习,使用VSCode 的 REST client 插件测试
哈哈虎的博客
06-27 1145
WORDPRESS 的 REST API 本身是没有身份验证的,我安装了 miniOrange 的 WordPress REST API Authentication免费部分只有 Basic Authentication 和 JWT Authentication ,作为学习 REST API 够用了。一般使用 postman 测试 api ,后来卸载了,现在账号找回密码邮件总是收不到!在VSCode中使用 REST client 来测试也很直观。
Spring boot跨域设置
热门推荐
yayaqwl的博客
03-30 4万+
1. 原由 本人是spring boot菜鸟,但是做测试框架后端需要使用Spring boot和前端对接,出现跨域问题,需要设置后端Response的Header.走了不少坑,在这总结一下以备以后使用   2. 使用场景 浏览器默认不允许跨域访问,包括我们平时ajax也是限制跨域访问的。 产生跨域访问的情况主要是因为请求的发起者与请求的接受者1、域名不同;2、端口号不同   3.解决方...
WordPress搜索(跨域)功能被黑原因及解决方案
程序新视界
08-29 1383
前些天在国外游玩,通过百度的站长工具发现个人博客的流量异常,而且出现了一些敏感词汇的搜索,比如彩票,美女什么的。期初以为是评论区的问题,但本人的博客并没有开通评论直接显示的功能,也没有发现任何相关的评论。 WordPress搜索漏洞 请教各路大神外加搜索引擎终于找到问题的根源,原来是有人利用WordPress的搜索功能来搞事情。WordPress和市面上绝大部分的搜索,都是使用get方式进行的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值