/users/ 配下の情報がcorsでブロックされる

[momoirodouhu]

💡 Summary

ブラウザから /users/* のユーザー情報にgetを投げるとCORS Missing Allow Originで要求がぶろっきゅされる 公開情報でありmastodonやPleromaでは発生しないのでバグだと思われる

🥰 Expected Behavior

要求がブロックされずにデータを確認できる

🤬 Actual Behavior

📝 Steps to Reproduce

1. ブラウザコンソールでawait fetch("https://momoirodouhu.mydns.jp/users/99qh7jlqmq")を実行

📌 Environment

Misskey version: misskey 13.2.6 Your browser: firefox 109.0 (64 ビット)

[RoxyBoxxy]

こんにちは、翻訳者を使用して悪い日本語について申し訳ありません。nginx 構成でこれを修正するには、次のように変更します

location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host $host;
        proxy_http_version 1.1;
        proxy_redirect off;
        add_header 'Access-Control-Allow-Origin' '*' always;
        # If it's behind another reverse proxy or CDN, remove the following.
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;

        # For WebSocket
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade;

        # Cache settings
        proxy_cache cache1;
        proxy_cache_lock on;
        proxy_cache_use_stale updating;
        proxy_force_ranges on;
        add_header X-Cache $upstream_cache_status;
    }

[tamaina]

昔からこうなのでバグというわけではない（強すぎるとは思う）

[rinsuki]

別にバグではない (ActivityPubのオブジェクトにCORS全許可しろなんて仕様はない) が、それはそれとして許可してもいいとは思う

@RoxyBoxxy 静的ファイル以外のCORSヘッダーは無理やり上書きするべきではないので hide しました

[momoirodouhu]

テスト環境ができたので簡単ですが実装しました 勝手に進めてすみません

[momoirodouhu]

PRがマージされたのでこっちも閉じます