Access-Control-Allow-Origin多源域?

是否有一种方法允许多个跨域使用Access-Control-Allow-Origin头?

我知道*，但它太开放了。我只讲几个域。

举个例子，是这样的:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

我已经尝试了上面的代码，但它似乎不能在Firefox中工作。

是否可以指定多个域，还是只能指定一个域?

当前回答

只能为Access-Control-Allow-Origin标头指定一个原点。但是您可以根据请求在响应中设置原点。不要忘记设置Vary标头。在PHP中，我将做以下工作:

/**
 * Enable CORS for the passed origins.
 * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
 * @param array $origins
 * @return string|null returns the matched origin or null
*/
function allowOrigins($origins)
{
    $val = $_SERVER['HTTP_ORIGIN'] ?? null;
    if (in_array($val, $origins, true)) {
        header('Access-Control-Allow-Origin: '.$val);
        header('Vary: Origin');
        
        return $val;
    }
        
    return null;
}
    
if (allowOrigins(['http://localhost', 'https://localhost'])) {
   echo your response here, e.g. token
}

2019-07-25 10:52:02

其他回答

PHP代码:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

2020-01-23 14:47:42

听起来，推荐的方法是让服务器从客户端读取Origin头，将其与您希望允许的域列表进行比较，如果匹配，则将Origin头的值作为响应中的Access-Control-Allow-Origin头回显给客户端。

使用.htaccess，你可以这样做:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

2009-12-05 00:10:06

也许我错了，但据我所知，Access-Control-Allow-Origin有一个“origin-list”作为参数。

根据定义，origin-list为:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

由此，我认为不同的起源是被承认的，并且应该被空间分隔开。

2012-10-10 11:40:59

如果您像我一样尝试了这么多代码示例以使它使用CORS工作，值得一提的是，您必须首先清除缓存，以尝试它是否实际工作，类似于旧图像仍然存在的问题，即使它在服务器上被删除了(因为它仍然保存在缓存中)。

例如，CTRL + SHIFT + DEL在谷歌Chrome删除你的缓存。

这帮助我在尝试了许多纯。htaccess解决方案后使用这段代码，这似乎是唯一一个工作(至少对我来说):

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

还要注意，很多解决方案都说你必须输入Header set…但它是头添加....希望这能帮助到像我这样有同样问题的人。

2017-02-03 08:19:11

如上所述，Access-Control-Allow-Origin应该是唯一的，如果您位于CDN(内容分发网络)后面，则应该将Vary设置为Origin。

Nginx配置的相关部分:

if ($http_origin ~* (https?://.*\.mydomain\.com(:[0-9]+)?)) {
  set $cors "true";
}
if ($http_origin ~* (https?://.*\.my-other-domain\.com(:[0-9]+)?)) {
  set $cors "true";
}

if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

2015-11-09 15:59:29

Access-Control-Allow-Origin多源域?

推荐文章

最新文章

标签