hskwon
2e96660937
- CorsMiddleware: X-API-KEY 헤더를 Access-Control-Allow-Headers에 추가 - CorsMiddleware: OPTIONS 요청을 미들웨어 체인 진입 전에 즉시 처리하여 ApiKeyMiddleware 우회 - CorsMiddleware: PATCH 메서드 추가 및 Max-Age 86400초 설정 - ApiKeyMiddleware: 불필요한 OPTIONS 체크 로직 제거 (CorsMiddleware에서 이미 처리) [근본 원인] - React 프론트엔드에서 커스텀 헤더(X-API-KEY) 사용 시 브라우저가 자동으로 Preflight 요청(OPTIONS) 전송 - 기존 CorsMiddleware에서 X-API-KEY 헤더가 Allow-Headers 목록에 없어 CORS 정책 위반 - OPTIONS 요청이 ApiKeyMiddleware에서 401로 차단되어 Preflight 실패 [해결 방안] - OPTIONS 요청은 CorsMiddleware에서 즉시 200 OK 응답 (인증 미들웨어 우회) - X-API-KEY를 명시적으로 허용 헤더 목록에 추가 - 실제 GET/POST 요청은 기존대로 ApiKeyMiddleware에서 정상 검증
32 lines
1.0 KiB
PHP
32 lines
1.0 KiB
PHP
<?php
|
|
|
|
namespace App\Http\Middleware;
|
|
|
|
use Closure;
|
|
use Illuminate\Http\Request;
|
|
use Symfony\Component\HttpFoundation\Response;
|
|
|
|
class CorsMiddleware
|
|
{
|
|
public function handle(Request $request, Closure $next): Response
|
|
{
|
|
// OPTIONS 요청은 즉시 처리 (미들웨어 체인 진행 안 함)
|
|
if ($request->isMethod('OPTIONS')) {
|
|
return response()->json([], 200, [
|
|
'Access-Control-Allow-Origin' => '*',
|
|
'Access-Control-Allow-Methods' => 'GET, POST, PUT, DELETE, OPTIONS, PATCH',
|
|
'Access-Control-Allow-Headers' => 'Content-Type, Authorization, X-API-KEY',
|
|
'Access-Control-Max-Age' => '86400',
|
|
]);
|
|
}
|
|
|
|
$response = $next($request);
|
|
|
|
$response->headers->set('Access-Control-Allow-Origin', '*');
|
|
$response->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS, PATCH');
|
|
$response->headers->set('Access-Control-Allow-Headers', 'Content-Type, Authorization, X-API-KEY');
|
|
|
|
return $response;
|
|
}
|
|
}
|