Calculer Girl
  1. Calculer Girl
  3. Force le certificate SSL à être inclus dans la demande de pré-vol CORS
Intereting Posts
Le site Web ssl ne fonctionne pas sous Windows XP Barre de progression pleine largeur dans la console Comment stocker le résultat d’une commande shell exécutée dans une variable en python? Windows cmd shell xcopy au répertoire réseau ne fonctionne pas Ligne de commande – comment extraire un nom de fichier uniquement lorsque vous utilisez une boucle de commande for Comment détecter les entrées utilisateur dans les scripts bash / unix? Impossible d’installer Yesod sur Ubuntu 12.04 htaccess réécrit l’url avec des interruptions de chaîne de requête Obtenir apache pour travailler avec PHP pour un serveur REST Comment installer TBB depuis le source sur Linux et le faire fonctionner Signification des champs dans / proc / net / udp feedback stdin et stdout de deux processus Détecter le mot à la fin de la phrase avec l’expression rationnelle Comment obtenir la taille du tas sur Windows Platform JDK 1.8 sur un fichier d’inclusion JNI manquant sous Linux

Force le certificate SSL à être inclus dans la demande de pré-vol CORS

J’essaie de faire une requête (non simple) CORS GET (AJAX) faite par mon serveur client (exécuté sur le port Apache @ 443) sur un serveur tiers (exécuté sur Tomcat @ port 8443), qui ne se déclenche pas lorsque essayé sur HTTPS.

Lorsque SSL n’est pas activé, cela fonctionne très bien, indiquant que le CORS est correctement configuré.

Le problème est que puisque le GET est (pas simple), il envoie une requête OPTIONS avant le vol.

Selon cela, les requêtes OPT avant le vol échouent sur HTTPS

Les demandes pré-enregistrées n’incluent pas le certificate client. Il déclare que cela se trouve dans la spécification CORS, mais je n’ai pas pu trouver cela spécifiquement dans la spécification: http://www.w3.org/TR/cors/

Le tiers ne peut pas activer 

SSLVerifyClient optional

comme ils nécessitent toutes les communications soient envoyées avec SSL.

Cependant, ils ont leur propre configuration CORS et ils ont 

 access-control-allow-credentials: "true"

Dans notre appel AJAX, nous avons inclus dans xhrFields 

  withCredentials: true

Donc, nous lui disons de passer avecCredentials (qui inclut cert / cookie / etc)

Et sur notre APACHE nous avons 

 SSLOptions +ExportCertData

Quelque part quand nous faisons l’appel, ils voient toujours l’erreur “clé / cert n’était pas inclus”

Est-ce que je manque quelque chose? Y a-t-il un moyen de forcer cela dans Apache? En ce moment, je me prépare à créer un script pour le middle script afin d’attacher le cert à la requête initiale, mais il semble qu’il y ait une meilleure solution.

Aucune suggestion?