Nationaalgeoregister BAG api CORS headers stuk

tinco · 17 juni 2019 om 14:20

Hoi,

Zou het kunnen dat de CORS headers van bag.nationaalgeoregister.nl onlangs veranderd zijn? Onze service leunt hierop en doet het nu niet meer met de volgende foutmelding:

The 'Access-Control-Allow-Origin' header contains multiple values '*, https://www.pdok.nl', but only one is allowed. Have the server send the header with a valid value, or, if an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled

Dit is de request:

curl 'https://bag.basisregistraties.overheid.nl/api/v1/panden' -X OPTIONS -H 'Access-Control-Request-Method: POST' -H 'Origin: https://www.aero.nl'

tinco · 17 juni 2019 om 14:59

… and it’s gone, thanks!

Nathan · 17 juni 2019 om 15:03

Dag Tinco,

Dit probleem hebben wij inderdaad ook voorbij zien komen. Dit is nu opgelost door een stuk configuratie. Wij hebben zelf het issue dat Chrome issues geeft met Cross origin request Blocking. Ik hebben een stuk code toegevoegd die een CORS header afdwingt op basis van de websites origin (check tegen een lijst met websites), maar ik besef me nu dat gebruikers van de API direct via frontend dan de data niet meer kunnen tonen. Heb daarom die wijziging maar ongedaan gemaakt. (om de een of andere rare reden werken de datamodellen op de PDOKnl website nu wel nog steeds).

We gaan hier nog naar een oplossing kijken die vast geïmplementeerd kan worden om dit probleem op te lossen zonder dat het frontend gebruikers raakt, maar waarbij we wel een fatsoenlijke policy hebben