Обмен ресурсами между источниками (CORS) — это важный механизм безопасности, который позволяет веб-браузерам отправлять запросы к домену, отличному от того, из которого возникла веб-страница. В контексте Ruby on Rails реализация функциональности CORS важна при создании API или интеграции с внешними сервисами. В этой статье мы рассмотрим различные методы включения CORS в приложениях Ruby on Rails, а также приведем примеры кода.

Метод 1: использование драгоценного камня rack-cors
Гем rack-corsобеспечивает простой и гибкий способ настройки CORS в приложении Rails. Для начала добавьте драгоценный камень в свой Gemfile:

gem 'rack-cors', :require => 'rack/cors'

Затем настройте параметры CORS в вашем config/application.rbили конкретном файле среды (config/environments/{environment}.rb):

config.middleware.insert_before 0, Rack::Cors do
  allow do
    origins '*'  # Replace '*' with specific origins if needed
    resource '*', :headers => :any, :methods => [:get, :post, :options]
  end
end

Метод 2: ручная обработка CORS в контроллерах
Если вы предпочитаете более ручной подход, вы можете обрабатывать CORS непосредственно в своих контроллерах. Вот пример:

class ApiController < ApplicationController
  before_action :set_cors_headers
  def set_cors_headers
    headers['Access-Control-Allow-Origin'] = '*'  # Replace '*' with specific origins if needed
    headers['Access-Control-Allow-Methods'] = 'GET, POST, OPTIONS'
    headers['Access-Control-Allow-Headers'] = 'Origin, Content-Type, Accept'
  end
  # Controller actions...
end

Метод 3: использование промежуточного программного обеспечения Rack.
Другой способ обработки CORS — создание специального промежуточного программного обеспечения Rack. Вот пример:

class CorsMiddleware
  def initialize(app)
    @app = app
  end
  def call(env)
    set_cors_headers(env)
    @app.call(env)
  end
  def set_cors_headers(env)
    headers = env['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']
    origin = env['HTTP_ORIGIN'] || '*'

    if headers
      headers.split(',').each do |header|
        env['HTTP_ACCESS_CONTROL_ALLOW_HEADERS'] ||= ''
        env['HTTP_ACCESS_CONTROL_ALLOW_HEADERS'] += ', ' unless env['HTTP_ACCESS_CONTROL_ALLOW_HEADERS'].empty?
        env['HTTP_ACCESS_CONTROL_ALLOW_HEADERS'] += header.strip
      end
    end

    env['HTTP_ACCESS_CONTROL_ALLOW_ORIGIN'] = origin
    env['HTTP_ACCESS_CONTROL_ALLOW_METHODS'] = 'GET, POST, OPTIONS'
    env['HTTP_ACCESS_CONTROL_ALLOW_CREDENTIALS'] = 'true'
  end
end
# In your config/application.rb
config.middleware.use CorsMiddleware

В этой статье мы рассмотрели различные методы включения CORS в приложениях Ruby on Rails. Вы можете выбрать тот подход, который лучше всего соответствует вашим требованиям и предпочтениям. Гем rack-corsпредоставляет удобный способ настройки CORS, а ручная обработка в контроллерах и создание специального промежуточного программного обеспечения Rack обеспечивают большую гибкость. Применяя правильные настройки CORS, вы можете обеспечить безопасную и бесперебойную связь между вашим приложением Rails и другими доменами.

Не забывайте всегда учитывать последствия для безопасности разрешения всех источников («*») и корректировать конфигурацию в соответствии с вашими конкретными потребностями. CORS — мощный инструмент, но его следует использовать осторожно, чтобы предотвратить несанкционированный доступ к ресурсам вашего приложения.