<?php // Полная загрузка сервисных книжек, создан 2024-01-05 12:44:55
global $wpdb2;
global $failure;
global $file_hist;
///// echo '<H2><b>Старт загрузки</b></H2><br>';
$failure=FALSE;
//подключаемся к базе
$wpdb2 = include_once 'connection.php'; ; // подключаемся к MySQL
// если не удалось подключиться, и нужно оборвать PHP с сообщением об этой ошибке
if (!empty($wpdb2->error))
{
///// echo '<H2><b>Ошибка подключения к БД, завершение.</b></H2><br>';
$failure=TRUE;
wp_die( $wpdb2->error );
}
$m_size_file=0;
$m_mtime_file=0;
$m_comment='';
/////проверка существования файлов выгрузки из 1С
////файл выгрузки сервисных книжек
$file_hist = ABSPATH.'/_1c_alfa_exchange/AA_hist.csv';
if (!file_exists($file_hist))
{
///// echo '<H2><b>Файл обмена с сервисными книжками не существует.</b></H2><br>';
$m_comment='Файл обмена с сервисными книжками не существует';
$failure=TRUE;
}
/////инициируем таблицу лога
/////если не существует файла то возврат и ничего не делаем
if ($failure){
///включает защиту от SQL инъекций и данные можно передавать как есть, например: $_GET['foo']
///// echo '<H2><b>Попытка вставить запись в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>$m_comment));
wp_die();
///// echo '<H2><b>Возврат в начало.</b></H2><br>';
return $failure;
}
/////проверка лога загрузки, что бы не загружать тоже самое
$masiv_data_file=stat($file_hist); ////передаем в массив свойство файла
$m_size_file=$masiv_data_file[7]; ////получаем размер файла
$m_mtime_file=$masiv_data_file[9]; ////получаем дату модификации файла
////создаем запрос на получение последней удачной загрузки
////выбираем по штампу времени создания (редактирования) файла загрузки AA_hist.csv, $m_mtime_file
///// echo '<H2><b>Размер файла: '.$m_size_file.'</b></H2><br>';
///// echo '<H2><b>Штамп времени файла: '.$m_mtime_file.'</b></H2><br>';
///// echo '<H2><b>Формирование запроса на выборку из лога</b></H2><br>';
////препарируем запрос
$text_zaprosa=$wpdb2->prepare("SELECT * FROM `vin_logs` WHERE `last_mtime_upload` = %s", $m_mtime_file);
$results=$wpdb2->get_results($text_zaprosa);
if ($results)
{ foreach ( $results as $r)
{
////если штамп времени и размер файла совпадают, возврат
if (($r->last_mtime_upload==$m_mtime_file) && ($r->last_size_upload==$m_size_file))
{////echo '<H2><b>Возврат в начало, т.к. найдена запись в логе.</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>'Загрузка отменена, новых данных нет, т.к. найдена запись в логе.'));
wp_die();
return $failure;
}
}
}
////если данные новые, пишем в лог запись о начале загрузки
/////echo '<H2><b>Попытка вставить запись о начале загрузки в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>0, 'last_size_upload'=>$m_size_file, 'comment'=>'Начало загрузки'));
////очищаем таблицу
$clear_tbl_zap=$wpdb2->prepare("TRUNCATE TABLE %s", 'vin_history');
$clear_tbl_zap_repl=str_replace("'","`",$clear_tbl_zap);
$results=$wpdb2->query($clear_tbl_zap_repl);
///// echo '<H2><b>Очистка таблицы сервисных книжек</b></H2><br>';
if (empty($results))
{
///// echo '<H2><b>Ошибка очистки таблицы книжек, завершение.</b></H2><br>';
//// если очистка не удалась, возврат
$failure=TRUE;
wp_die();
return $failure;
}
////загружаем данные
$table='vin_history'; // Имя таблицы для импорта
//$file_hist Имя CSV файла, откуда берется информация // (путь от корня web-сервера)
$delim=';'; // Разделитель полей в CSV файле
$enclosed='"'; // Кавычки для содержимого полей
$escaped='\
м.б. пользователю службы апача сделать авторизацию ОС?
Для IIS можно прописать в web.config (находится каталоге куда публикуется http сервис 1С)
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name=»Access-Control-Allow-Origin» value=»*» />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
Все заголовки которые перечислены в customHeader будут автоматически добавляться к http-ответам.
Тоже разрабатываю личный кабинет к системе учета заявок на angular.js и http-сервисах 1С, и сейчас застрял на кросс доменной авторизации пользователей.
(2) pahalovo, я намерено не указал данный метод, поскольку при обновлении публикации 1с меняет файл. А постоянно туда лазить не хочется. Более того, разрешение будет выдано на все сервисы, а это уже определенная брешь в безопасности. В аппаче же другого выхода нет кроме правки настроек веб-сервера. Ну или я что то не умею ))))
У этого метода есть свои недостатки, но зато это самый быстрый способ включить CORS в существующем api.
Статью можно дополнить описанием механизма «preflight» запросов. В каких случаях эти запросы отправляются и как их правильно обрабатывать на стороне 1С.
Это бы сэкономило много времени тем кто первый раз столкнулся с CORS.
(3)
1. Что мешает установить в XHR
и добавить заголовок
2. На самом деле, заголовки
нужны не всегда, а только при обработке запроса типа
. Такой минизапрос браузер добавляет перед выполнением реального кроссдоменного запроса. Можно добавлять всегда — ничего страшного в отправке нескольких лишних байт нет.
(2) pahalovo,
angular, backbone, yui, extjs и т.д. знать и использовать, конечно, необходимо. Это — азбука, без которой невозможно разговаривать.
Для построения production веб-приложений, предлагаю ознакомиться с библиотекой большинство ui и data — задач решаются там из коробки без кодирования расстановкой галочек и подготовкой файла описания метаданных
(5) unpete, спасибо за подсказку относительно заголовка Auhorization. Чего-то я не подумал так попробовать. Впрочем в рамках моей задачи не требовалась авторизация под конкретными пользователями. Но в любом случае, спасибо.
(7) На самом деле, CORS с авторизацией несколько сложнее, т.к. сервер должен в этом случае возвращать не «Access-Control-Allow-Origin: *», а «Access-Control-Allow-Origin: Origin инициатора»
imho, правильнее не преодолевать героически самостоятельно созданные проблемы, а выбирать архитектуру, в которой эти проблемы в принципе не возникнут.
У администратора веб-сервера, всегда есть возможность подклеить в и работать безо всяких корсов.
Лучше всего для этих целей подходит nginx, но на apache и iis так же, можно настроить.
(8), вот это я уже не понял.
Видимо не дорос еще ((.
Сейчас я Access-Control-Allow-Origin в принципе сразу с указанием инициатора возвращаю. Думаю так правильнее как бы.
(9) там по русски. см. директиву proxy_pass
В общем случае, задать инициатора статически не получится. К серверу могут обращаться с разных доменов и есть возможность одним разрешать, а других посылать.
А еще, проверку cors можно отключить в браузере, запустив его с определенными параметрами командной строки. Например, для Chrome: «C:Program Files (x86)GoogleChromeApplicationchrome.exe» —disable-web-security
Для того же Chrome, есть директива —allow-cross-origin-auth-prompt — показывает диалог basic-авторизации, если таковая требуется на кроссдоменном сервере.
(9) Еще, вспомнил про serviceWorkers. С их помощью, так же, можно кроссдоменные запросы обрабатывать. Причем, вызывающая страница про serviceWorker-а и кроссдомен может ничего не знать. Её xhr будет думать, что работает с локальным сервером, а serviceWorker подменит данные.
(10), (11) unpete, спасибо за все советы. Очень познавательно.
(10) unpete, что-то мне подсказывает что —disable-web-security не самое лучшее решение. Кстати до кучи еще можно поставить например плагин в хроме, который будет сам заголовок cors подставлять.
(13)
Это вовсе не решение для production, но улучшает понимание, что cors — это всего лишь соглашение внутри браузера и к обеспечению реальной безопасности отношения не имеет.
HELP!
У меня похожая ситуация — мне нужно отправлять запросы с сайта в http-сервис 1С 8.3.
БД, которая обрабатывает запросы, используют множество пользователей — т.е. без авторизации при подключении к http-сервису никак не обойтись.
GET с Basic авторизацией отрабатывает на ура.
Но когда отправляю этот запрос с браузера — конечно же получаю вначале проверочный запрос OPTIONS. А он уже авторизацию пройти не может.
Подскажите как вырулить из сложившейся ситуации?
Как отправить запросу OPTIONS Ответ = Новый HTTPСервисОтвет(200); без авторизации?
Или все же есть способ заставить его пройти авторизацию?
Пытался потобное сделать не получилось, использую ISS
добавил в POST ответ
также в конфигурационный файл добавил
<httpProtocol>
<customHeaders>
<add name=»Access-Control-Allow-Origin» value=»*» />
</customHeaders>
</httpProtocol>
по прежнему ошибка 401
(16)
Получилось ли победить?
(17) да победил, нужно в ISS кросдаоменные запросы еще разрешить
(15) Удалось ли пройти авторизацию?
(19)
— Смотришь какой apache установлен: если 2.2 — сносишь — ставишь 2.4 — в нем есть нормальный оператор if (может можно как-то и в 2.2 сделать — хз)
— Идешь в httpd.conf
— Раскомментируешь модуль mod_headers.so
— Ищешь свою <Directory> и добавляешь хедеры для кроссдоменных запросов (лишнее удаляешь) и оборачиваешь SetHandler в условие:
<Directory «путь_будет_твой»> AllowOverride All Options None Require all granted <IfModule mod_headers.c> Header always set Access-Control-Allow-Origin «*» Header always set Access-Control-Max-Age «1000» Header always set Access-Control-Allow-Headers «X-Requested-With, Content-Type, Origin, Authorization, Accept, Client-Security-Token, Accept-Encoding» Header always set Access-Control-Allow-Methods «POST, GET, OPTIONS, DELETE, PUT» </IfModule> <If «(%{REQUEST_METHOD} != ‘OPTIONS’)»> SetHandler 1c-application ManagedApplicationDescriptor «путь_будет_твой» </If> </Directory>Показать
Теперь проверочный запрос получит пустой ответ с 200 статусом без авторизации, а нужный запрос пойдет с авторизацией.
При повторной публикации настройки apache перетрутся — нужно будет заново обновить конфиг (пока не курил как можно избежать этого).
p.s. ajax Basic авторизация для кириллицы:
‘Authorization’: ‘Basic ‘ + btoa(unescape(encodeURIComponent(‘Пользователь’ + ‘:’ + ‘Пароль’)))
(18) если не секрет, как всключили? в файле web.config уже указал все что можно, но запрос options дает отлуп по 401 ошибке
(21) Если актуально.
1) В web.config ничего писать не обязательно (по крайней мере я у себя ничего там не прописывал). Достаточно указать в заголовки ответа
Ответ.Заголовки.Вставить(«Access-Control-Allow-Origin», «»);
Ответ.Заголовки.Вставить(«Access-Control-Allow-Headers», «*»);
2) Добавить метод OPTIONS в нужном шаблоне с ответом 200. Ну и не забыть для OPTIONS указать такие же заголовки
По поводу публикации можно просто обновлять файл *.vrd без обновления сервера.
По поводу заголовков
это только для REST запросов и без авторизации, для Soap не прокатит.
*REST запросов и без авторизации- так как запрос options идет без заголовка «Authorization», и 1с не авторизовывает и кидает ошибку 401
Такая же ситуация не могу авторизоваться. JavaScript
что я не так делаю?
let body = {
data:’14.12.2018′,
smena:’Смена Дневная’
};
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
xhr.open(‘POST’, serviceURL , true);
xhr.setRequestHeader(‘Content-Type’, ‘application/json; charset=utf-8″‘);
xhr.setRequestHeader(‘Cache-Control’, ‘no-cache’);
xhr.setRequestHeader(‘Authorization’, «BASIC «+window.btoa(unescape(encodeURIComponent(user+»:»+pass))));
xhr.on readystatechange = function() {
if (this.readyState === 4) {
if (this.status === 200) {
alert(this.responseText);
} else {
console.log(‘ошибка ‘+this.responseText);
}
}
};
var formData = JSON.stringify(body);
xhr.send(formData);
в iis 8.5 добавил все эти заголовки вместо 1С
«Access-Control-Allow-Origin», «http://localhost:8383»);
«Access-Control-Allow-Methods», «GET, PUT, POST, DELETE, HEAD, OPTIONS»);
«Access-Control-Allow-Credentials», «true»);
«Access-Control-Allow-Headers», «X-Requested-With, origin, content-type, accept»);
выходит ошибка
OPTIONS 401 (Unauthorized)
Access to XMLHttpRequest at ‘http://192.168.1.40/HTTP_PRR/hs/prr’ from origin ‘http://localhost:8383’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: It does not have HTTP ok status.
GENERAL
Request URL:
Request Method: OPTIONS
Status Code: 401 Unauthorized
Remote Address: 192.168.1.40:80
Referrer Policy: no-referrer-when-downgrade
Response Headers
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Origin, X-Olaround-Debug-Mode, Authorization, Accept, WWW-Authenticate
Access-Control-Allow-Methods: GET, POST, DELETE, HEAD, PUT, OPTIONS
Access-Control-Allow-Origin:
Access-Control-Expose-Headers: X-Olaround-Debug-Mode, X-Olaround-Request-Start-Timestamp, X-Olaround-Request-End-Timestamp, X-Olaround-Request-Time, X-Olaround-Request-Method, X-Olaround-Request-Result, X-Olaround-Request-Endpoint
Cache-Control: private
Content-Length: 6293
Content-Type: text/html; charset=utf-8
Date: Wed, 09 Jan 2019 07:01:13 GMT
Server: Microsoft-IIS/8.5
WWW-Authenticate: Basic realm=»1C:Enterprise 8.3″
X-Powered-By: ASP.NET
Request Headers
! Provisional headers are shown
Access-Control-Request-Headers: authorization,content-type
Access-Control-Request-Method: POST
Origin:
Referer:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
(25) Удалось победить? Такая же проблема 🙁
(26) нет не удалось. пока работаю на серваке где публикуется база 1С.
—
Подскажите, как выполнить ajax запрос к 1С авторизацией. Выпадает в ошибку, ни могу победить.