ASANA APIとAccess-Control- *ヘッダー

Question

ブラウザからAsana APIを呼び出すコードを記述しています。すべてのブラウザから放出されるXDR要求は、アクセス・コントロール - *ヘッダを取得するにはOPTIONSへの呼び出しで始まりますが、アサナサーバは、それらに対応していないようです：

：

Request URL:https://app.asana.com/api/1.0/users?opt_pretty=true&opt_fields=name,email 
Request Method:OPTIONS 
Status Code:404 Object Not Found 
Request Headers: 
    Accept:*/* 
    Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3 
    Accept-Encoding:gzip,deflate,sdch 
    Accept-Language:fr-FR,fr;q=0.8,en-US;q=0.6,en;q=0.4 
    Access-Control-Request-Headers:origin, authorization, accept 
    Access-Control-Request-Method:GET 
    Connection:keep-alive 
    Host:app.asana.com 
    Origin:null 
    User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1129.0 Safari/536.11 

Query String Parameters: 
    opt_pretty:true 
    opt_fields:name,email 

Response Headers: 
    Content-Length:82 
    Content-Type:application/json 
    Date:Sat, 12 May 2012 22:23:19 GMT 
    Server:nginx/0.7.67 
    ... 

レスポンスヘッダのようなものが含まれている必要があります

Access-Control-Allow-Headers: Accept, Authorization, Content-Type 
Access-Control-Allow-Methods: GET,PUT,POST,DELETE 
Access-Control-Allow-Origin: * 

また、APIをリクエストする際に紛失しているものはありますか？

Answer 1

（私はアサナで働く）

それはOAuthのをサポートしていないと安全にクライアントからの要求を認証することはできませんので、アサナのAPIは今、これらのヘッダを返しません。これらのヘッダーを認証されたクライアントに返すだけで安全です。そうしないと、サービスはクロスサイトスクリプティング攻撃に対してオープンになります。 OAuthは今後サポートされる予定のリストに載っています。