我有同样的问题与woff字体，多子域必须有访问。为了允许子域，我在我的httpd.conf中添加了这样的东西:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

对于多个域，您可以更改SetEnvIf中的正则表达式。

听起来，推荐的方法是让服务器从客户端读取Origin头，将其与您希望允许的域列表进行比较，如果匹配，则将Origin头的值作为响应中的Access-Control-Allow-Origin头回显给客户端。

使用.htaccess，你可以这样做:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

我努力为一个运行HTTPS的域设置这个，所以我想我会分享这个解决方案。我在我的httpd.conf文件中使用了以下指令:

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

将example.com更改为您的域名。在httpd.conf文件中的<VirtualHost x.x.x.x:xx>中添加此内容。注意，如果你的VirtualHost有一个端口后缀(例如:80)，那么这个指令将不适用于HTTPS，所以你还需要去/etc/apache2/sites-available/default-ssl并在那个文件中添加相同的指令，在<VirtualHost _default_:443>部分。

配置文件更新后，需要在终端上执行以下命令:

a2enmod headers
sudo service apache2 reload

AWS Lambda/ fire Gateway

有关如何在无服务器AWS Lambda和API网关上配置多个源的信息-尽管一个相当大的解决方案，但人们会觉得应该非常简单-请参阅这里:

https://stackoverflow.com/a/41708323/1624933

目前不可能在API Gateway中配置多个源，请参阅这里:https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html)，但建议(在上面的回答中)是:

检查浏览器发送的Origin报头 在来源白名单上查一下 如果匹配，返回传入的Origin作为Access-Control-Allow-Origin头，否则返回占位符(默认Origin)。

简单的解决方案显然是可行的 所有(*)像这样:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

但是在API网关端做这件事可能会更好(见上面的第二个链接)。

我在PHP中使用的另一个解决方案:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

下面的答案是针对c#的，但是这个概念应该适用于所有不同的平台。

为了允许来自web api的跨源请求，你需要允许应用程序的选项请求，并在控制器级别添加下面的注释。

[EnableCors UrlString、头、方法) 现在原点只能传递一个s字符串。因此，如果你想在请求中传递多个URL，请以逗号分隔。

UrlString = https://a.hello.com, https://b.hello.com”