panel/config/initializers/cors.rb

# frozen_string_literal: true

# CORS
#
# @see {https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS}
# @see {https://github.com/cyu/rack-cors#origin}
Rails.application.config.middleware.insert_before 0, Rack::Cors do
  allow do
    # Queremos obtener un dominio válido y no permitir ningún otro
    # origen.  Como los sitios pueden tener muchos orígenes, necesitamos
    # una forma de encontrarlos por su URL.
    #
    # El problema sería que otros sitios con JS malicioso hagan pedidos
    # a nuestra API desde otros sitios infectados.
    #
    # XXX: La primera parte del dominio tiene que coincidir con el
    # nombre del sitio.
    #
    # XXX: Al terminar de entender esto nos pasó que el servidor recibe
    # la petición de todas maneras, con lo que no estamos previniendo
    # que nos hablen, sino que lean información.  Solo va a funcionar si
    # el servidor no tiene el Preflight cacheado.
    #
    # TODO: Limitar el acceso desde Nginx también.
    #
    # TODO: Poder consultar por sitios por todas sus URLs posibles.
    origins do |source, _|
      # Cacheamos la respuesta para no tener que volver a procesarla
      # cada vez.
      Rails.cache.fetch(source, expires_in: 1.hour) do
        uri = URI(source)

        if (name = uri&.host&.split('.', 2)&.first).present?
          Site.where(name: [name, uri.host + '.']).pluck(:name).first.present?
        else
          false
        end
      rescue URI::Error
        false
      end
    end

    resource '*', headers: :any, methods: %i[get post patch put]
  end
end
cors 2020-12-08 23:21:42 +00:00			`# frozen_string_literal: true`

			`# CORS`
			`#`
			`# @see {https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS}`
			`# @see {https://github.com/cyu/rack-cors#origin}`
			`Rails.application.config.middleware.insert_before 0, Rack::Cors do`
			`allow do`
Revert "cors simplificado" This reverts commit 2a97fa81745f2a150181b1b22fce56b7e8c9ceef. 2020-12-08 23:37:26 +00:00			`# Queremos obtener un dominio válido y no permitir ningún otro`
			`# origen. Como los sitios pueden tener muchos orígenes, necesitamos`
			`# una forma de encontrarlos por su URL.`
			`#`
			`# El problema sería que otros sitios con JS malicioso hagan pedidos`
			`# a nuestra API desde otros sitios infectados.`
			`#`
			`# XXX: La primera parte del dominio tiene que coincidir con el`
			`# nombre del sitio.`
			`#`
			`# XXX: Al terminar de entender esto nos pasó que el servidor recibe`
			`# la petición de todas maneras, con lo que no estamos previniendo`
el preflight va a impedir que se envíe 2020-12-08 23:39:09 +00:00			`# que nos hablen, sino que lean información. Solo va a funcionar si`
			`# el servidor no tiene el Preflight cacheado.`
Revert "cors simplificado" This reverts commit 2a97fa81745f2a150181b1b22fce56b7e8c9ceef. 2020-12-08 23:37:26 +00:00			`#`
			`# TODO: Limitar el acceso desde Nginx también.`
el preflight va a impedir que se envíe 2020-12-08 23:39:09 +00:00			`#`
Revert "cors simplificado" This reverts commit 2a97fa81745f2a150181b1b22fce56b7e8c9ceef. 2020-12-08 23:37:26 +00:00			`# TODO: Poder consultar por sitios por todas sus URLs posibles.`
			`origins do \|source, _\|`
			`# Cacheamos la respuesta para no tener que volver a procesarla`
			`# cada vez.`
			`Rails.cache.fetch(source, expires_in: 1.hour) do`
permitir cors para nombres de dominio completos también en realidad necesitamos una forma de consultar a la base de datos por todas las versiones de dominios de un sitio, de una forma barata que no nos obligue a instanciar el sitio y todos sus deploy. 2021-03-20 16:10:47 +00:00			`uri = URI(source)`

			`if (name = uri&.host&.split('.', 2)&.first).present?`
			`Site.where(name: [name, uri.host + '.']).pluck(:name).first.present?`
Revert "cors simplificado" This reverts commit 2a97fa81745f2a150181b1b22fce56b7e8c9ceef. 2020-12-08 23:37:26 +00:00			`else`
			`false`
			`end`
			`rescue URI::Error`
			`false`
			`end`
			`end`

cors 2020-12-08 23:21:42 +00:00			`resource '*', headers: :any, methods: %i[get post patch put]`
			`end`
			`end`