访问控制-允许起源通配符子域，端口和协议

我正在尝试为所有子域，端口和协议启用CORS。

例如，我希望能够从http://sub.mywebsite.example:8080/到https://www.mywebsite.example/*运行XHR请求

通常情况下，我想启用来自源匹配的请求(并且仅限于):

/ / * .mywebsite.example: * / *

当前回答

CORS规范是全有或全无。只支持*、null或精确的协议+域+端口:http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

您的服务器将需要使用正则表达式验证原点标头，然后您可以在Access-Control-Allow-Origin响应标头中回显原点值。

2012-12-22 20:14:31

其他回答

当从“cookie域”(www.domain.example)读取字体时，我们在静态的“无cookie”域上也遇到了类似的问题，这篇文章是我们的英雄。看这里:我如何修复“丢失跨源资源共享(CORS)响应头”webfont问题?

对于复制/粘贴-r类型(并给一些道具)，我从所有的贡献中拼凑起来，并将其添加到站点根目录的。htaccess文件的顶部:

<IfModule mod_headers.c>
 <IfModule mod_rewrite.c>
    SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.example|mywebsite\.example)(:\d{1,5})?$" CORS=$0
    Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
    Header merge  Vary "Origin"
 </IfModule>
</IfModule>

超级安全，超级优雅。喜欢它:你不必开放你的服务器带宽给资源小偷/热链接者类型。

2017-11-18 18:30:41

CORS规范是全有或全无。只支持*、null或精确的协议+域+端口:http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

您的服务器将需要使用正则表达式验证原点标头，然后您可以在Access-Control-Allow-Origin响应标头中回显原点值。

2012-12-22 20:14:31

对我来说，我想要一个多域选项，这就是我使用的解决方案，使用python和flask，

    VALID_DOMAINS = 'https://subdomain1.example.com', 'https://subdomain2.example.com'


    def handle_request(request):
        origin = request.headers.get('Origin')
    
        if request.method == 'OPTIONS':
            if origin not in :
                return ''
    
            headers = {
                'Access-Control-Allow-Origin': origin,
                'Access-Control-Allow-Methods': 'GET',
                'Access-Control-Allow-Headers': 'Content-Type',
                'Access-Control-Max-Age': '3600',
            }
            return '', 204, headers
    
        return (
            main_function_with_logic(request),
            200,
            {'Access-Control-Allow-Origin': origin,
             ...}
        )

显然，您可以将VALID_DOMAINS扩展到任意您想要的长度，以及任何您想要的(非https、不同端口等)，并在请求上进行检查。

与通配符解决方案相比，我更喜欢这种解决方案，因此这是我在运行的服务器上的选择。

2021-09-28 16:29:24

使用@Noyo的解决方案，而不是这个。它更简单、更清晰，而且可能在负载下性能更高。

原来的答案只用于历史目的!!

我在这个问题上做了一些尝试，并提出了这个可重用的.htaccess(或httpd.conf)解决方案，适用于Apache:

<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
    # Define the root domain that is allowed
    SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.example

    # Check that the Origin: matches the defined root domain and capture it in
    # an environment var if it does
    RewriteEngine On
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
    RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
    RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]

    # Set the response header to the captured value if there was a match
    Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>

只要将块顶部的ACCESS_CONTROL_ROOT变量设置为您的根域，它将在Access-Control-Allow-Origin: response头值中将Origin: request头值回显给客户端，如果它与您的域匹配。

还请注意，您可以使用sub.mydomain.example作为ACCESS_CONTROL_ROOT，它将限制源为sub.mydomain.example和*.sub.mydomain。示例(即它不必是域根)。可以通过修改正则表达式的URI匹配部分来控制允许变化的元素(协议、端口)。

2013-09-23 12:09:52

看起来最初的答案是在Apache 2.4之前。这对我没用。下面是我为了让它在2.4中正常工作所做的修改。这将适用于你公司的任何深度的子域。

SetEnvIf Host ^((?:.+\.)*yourcompany\.example?)$    CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin  %{REQUEST_SCHEME}e://%{CORS_ALLOW_ORIGIN}e    env=CORS_ALLOW_ORIGIN
Header merge  Vary "Origin"

2018-04-24 20:00:57

访问控制-允许起源通配符子域，端口和协议

推荐文章

最新文章

标签