ฉันพยายามเปิดใช้งาน CORS สำหรับโดเมนย่อยพอร์ตและโปรโตคอลทั้งหมด
ตัวอย่างเช่นฉันต้องการให้สามารถเรียกใช้คำขอ XHR จากhttp://sub.mywebsite.com:8080/ไปยังhttps://www.mywebsite.com/ *
โดยทั่วไปฉันต้องการเปิดใช้งานคำขอจากการจับคู่ต้นกำเนิด (และ จำกัด เฉพาะ):
//*.mywebsite.com:*/*
คำตอบ:
จากคำตอบของ DaveRandom ฉันก็เล่นไปรอบ ๆ และพบโซลูชัน Apache ที่ง่ายกว่าเล็กน้อยที่ให้ผลลัพธ์เดียวกัน ( Access-Control-Allow-Originถูกตั้งค่าเป็นโปรโตคอลเฉพาะโดเมน + พอร์ต + พอร์ตปัจจุบันแบบไดนามิก) โดยไม่ต้องใช้กฎการเขียนซ้ำ:
SetEnvIf Origin ^(https?://.+\.mywebsite\.com(?::\d{1,5})?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
และนั่นคือมัน
ผู้ที่ต้องการเปิดใช้งาน CORS ในโดเมนหลัก (เช่น mywebsite.com) นอกเหนือจากโดเมนย่อยทั้งหมดสามารถแทนที่นิพจน์ปกติในบรรทัดแรกด้วยบรรทัดนี้:
^(https?://(?:.+\.)?mywebsite\.com(?::\d{1,5})?)$.
หมายเหตุ: สำหรับการปฏิบัติตามข้อกำหนดและการแคชที่ถูกต้อง ALWAYS จะเพิ่มVary: Originหัวข้อการตอบกลับสำหรับทรัพยากรที่เปิดใช้งาน CORS แม้สำหรับคำขอที่ไม่ใช่ CORS และจากแหล่งที่ไม่อนุญาต (ดูตัวอย่างสาเหตุ )
//ในบริบทนี้เนื่องจาก Apache conf ไม่ได้ใช้การแสดงออกปกติคั่นด้วยเครื่องหมายทับ Regexr บ่นเพราะในบริบทนั้นเครื่องหมายทับมีความหมายพิเศษเป็นตัวคั่น
The 'Access-Control-Allow-Origin' header contains multiple values '^(https?://(?:.+.)?aerofotea.com(?::d{1,5})?)$', but only one is allowed. Origin 'http://local.aerofotea.com' is therefore not allowed access.
ข้อมูลจำเพาะ CORS เป็นทั้งหมดหรือไม่มีอะไรเลย จะสนับสนุนเฉพาะ*, nullหรือที่แน่นอนโดเมนโปรโตคอล + พอร์ต: http://www.w3.org/TR/cors/#access-control-allow-origin-response-header
เซิร์ฟเวอร์ของคุณจะต้องตรวจสอบความถูกต้องของส่วนหัวกำเนิดโดยใช้ regex จากนั้นคุณสามารถสะท้อนค่าเริ่มต้นในส่วนหัวของการตอบกลับ Access-Control-Allow-Origin
แก้ไข : ใช้โซลูชันของ @ Noyoแทนอันนี้ มันง่ายกว่าชัดเจนขึ้นและมีแนวโน้มที่จะมีประสิทธิภาพมากขึ้นภายใต้ภาระ
ต้นฉบับคำสั่งซ้ายที่นี่เพื่อวัตถุประสงค์ทางประวัติศาสตร์เท่านั้น !!
ฉันได้ลองเล่นกับปัญหานี้และพบกับโซลูชัน. htaccess (หรือ httpd.conf) ที่ใช้ซ้ำได้ซึ่งทำงานร่วมกับ Apache:
<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
# Define the root domain that is allowed
SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.com
# Check that the Origin: matches the defined root domain and capture it in
# an environment var if it does
RewriteEngine On
RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]
# Set the response header to the captured value if there was a match
Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>
เพียงตั้งค่าACCESS_CONTROL_ROOTตัวแปรที่ด้านบนของบล็อกเป็นโดเมนรูทของคุณและมันจะสะท้อนOrigin:ค่าส่วนหัวของคำขอกลับไปที่ลูกค้าในAccess-Control-Allow-Origin:ค่าส่วนหัวการตอบสนองหากตรงกับโดเมนของคุณ
โปรดทราบว่าคุณสามารถใช้sub.mydomain.comเป็นACCESS_CONTROL_ROOTและจะ จำกัด การกำเนิดsub.mydomain.comและ*.sub.mydomain.com(เช่นไม่จำเป็นต้องเป็นรูทโดเมน) องค์ประกอบที่ได้รับอนุญาตให้เปลี่ยนแปลง (โปรโตคอล, พอร์ต) สามารถควบคุมได้โดยการปรับเปลี่ยนส่วนการจับคู่ URI ของ regex
ฉันกำลังตอบคำถามนี้เพราะคำตอบที่ยอมรับไม่สามารถทำตามได้
ตัวอย่างเช่น: จะไม่ส่งส่วนหัว CORS สำหรับhttp://mywebsite.comในขณะที่ทำงานกับhttp://somedomain.mywebsite.com/
SetEnvIf Origin "http(s)?://(.+\.)?mywebsite\.com(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
หากต้องการเปิดใช้งานสำหรับไซต์ของคุณคุณเพียงวางเว็บไซต์ของคุณไว้ใน "mywebsite.com" ในการกำหนดค่า Apache ด้านบน
วิธีอนุญาตเว็บไซต์หลายแห่ง:
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
การทดสอบหลังจากปรับใช้:
การตอบสนองของ curl ต่อไปนี้ควรมีส่วนหัว "Access-Control-Allow-Origin" หลังจากการเปลี่ยนแปลง
curl -X GET -H "Origin: http://examplesite1.com" --verbose http://examplesite2.com/query
ฉันต้องการโซลูชัน PHP เท่านั้นดังนั้นในกรณีที่มีคนต้องการมันเช่นกัน ใช้สตริงอินพุตที่อนุญาตเช่น "* .example.com" และส่งคืนชื่อเซิร์ฟเวอร์ส่วนหัวคำขอหากอินพุตตรงกัน
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
$allowed = preg_quote($allowed, '/');
if (($wildcardPos = strpos($allowed, '*')) !== false) {
$allowed = str_replace('*', '(.*)', $allowed);
}
$regexp = '/^' . $allowed . '$/';
if (!preg_match($regexp, $input, $matches)) {
return 'none';
}
return $input;
}และนี่คือกรณีทดสอบสำหรับผู้ให้บริการข้อมูล phpunit:
// <description> <allowed> <input> <expected>
array('Allow Subdomain', 'www.example.com', 'www.example.com', 'www.example.com'),
array('Disallow wrong Subdomain', 'www.example.com', 'ws.example.com', 'none'),
array('Allow All', '*', 'ws.example.com', '*'),
array('Allow Subdomain Wildcard', '*.example.com', 'ws.example.com', 'ws.example.com'),
array('Disallow Wrong Subdomain no Wildcard', '*.example.com', 'example.com', 'none'),
array('Allow Double Subdomain for Wildcard', '*.example.com', 'a.b.example.com', 'a.b.example.com'),
array('Don\'t fall for incorrect position', '*.example.com', 'a.example.com.evil.com', 'none'),
array('Allow Subdomain in the middle', 'a.*.example.com', 'a.bc.example.com', 'a.bc.example.com'),
array('Disallow wrong Subdomain', 'a.*.example.com', 'b.bc.example.com', 'none'),
array('Correctly handle dots in allowed', 'example.com', 'exampleXcom', 'none'),preg_quote()เพราะนั่นคือวิธีที่ถูกต้องที่จะทำมัน (แม้ว่า.เป็นเพียง regexp meta ถ่านที่ถูกต้องในชื่อ DNS ที่preg_quote()อธิบายการดำเนินการตั้งใจที่ดีกว่า)
noneไม่ใช่ค่าที่ถูกต้องเชิงความหมายสำหรับส่วนหัว (หรืออย่างน้อยไม่ได้ทำในสิ่งที่มันหมายถึง) ตามข้อมูลจำเพาะ เช่นนี้return null;อาจเหมาะสมกว่าสำหรับสาขานั้นและในกรณีนั้นไม่ควรส่งส่วนหัวไปยังไคลเอนต์ดังนั้นผู้โทรควรได้รับการตรวจสอบ
preg_quote()จะอ้างอิงเครื่องหมาย * และstr_replace()ตัวอย่างเช่นจะทิ้งคำว่า "\" ไว้
เมื่อตั้งค่าAccess-Control-Allow-Originใน. htaccess ทำงานต่อไปนี้เท่านั้น:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
ฉันพยายามหลายคำหลักที่แนะนำอื่น ๆHeader append, Header set, ไม่มีใครทำงานเป็นปัญหาในหลายคำตอบในดังนั้นแม้ว่าฉันมีความคิดว่าคำหลักเหล่านี้จะล้าสมัยหรือไม่ถูกต้องสำหรับNginx
นี่คือทางออกที่สมบูรณ์ของฉัน:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
Header merge Vary "Origin"
Header always set Access-Control-Allow-Methods "GET, POST"
Header always set Access-Control-Allow-Headers: *
# Cached for a day
Header always set Access-Control-Max-Age: 86400
RewriteEngine On
# Respond with 200OK for OPTIONS
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
เราพบปัญหาที่คล้ายกันกับ Font Awesome ในโดเมน "คุกกี้น้อย" แบบคงที่เมื่ออ่านแบบอักษรจาก "โดเมนคุกกี้" (www.domain.tld) และโพสต์นี้เป็นฮีโร่ของเรา ดูที่นี่: ฉันจะแก้ไขปัญหาการตอบกลับของส่วนหัว 'Missing Cross-Origin Resource Sharing (CORS)' ได้อย่างไร
สำหรับประเภท copy / paste-r (และเพื่อมอบอุปกรณ์ประกอบฉาก) ฉันได้รวบรวมสิ่งเหล่านี้จากการมีส่วนร่วมทั้งหมดและเพิ่มไว้ที่ด้านบนของไฟล์. htaccess ของรูทไซต์:
<IfModule mod_headers.c>
<IfModule mod_rewrite.c>
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
</IfModule>
</IfModule>
ปลอดภัยสุด ๆ Elegant สุด ๆ ชอบมาก: คุณไม่ต้องเปิดแบนด์วิธเซิร์ฟเวอร์ของคุณเพื่อขโมยทรัพยากร / ประเภท hot-link-er
อุปกรณ์ประกอบฉากถึง: @Noyo @DaveRandom @ pratap-koritala
(ฉันพยายามจะฝากความคิดเห็นไว้ในคำตอบที่ยอมรับ แต่ฉันยังทำไม่ได้)
สำหรับSpring Bootฉันพบสิ่งนี้RegexCorsConfigurationซึ่งขยายเป็นทางการCorsConfiguration: https://github.com/looorent/spring-security-jwt/blob/master/src/main/java/be/looorent/security/jwt/RegexCorsConfiguration.java
ดูเหมือนว่าคำตอบเดิมสำหรับ Apache 2.4 ก่อน มันไม่ได้ผลสำหรับฉัน นี่คือสิ่งที่ฉันต้องเปลี่ยนเพื่อให้ทำงานได้ใน 2.4 นี้จะทำงานเชิงลึกของโดเมนย่อยของใด ๆyourcompany.com
SetEnvIf Host ^((?:.+\.)*yourcompany\.com?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{REQUEST_SCHEME}e://%{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
ฉันต้องแก้ไขคำตอบของ Larsนิดหน่อยเนื่องจากเด็กกำพร้า\ลงเอยใน regex เพื่อเปรียบเทียบโฮสต์จริงเท่านั้น (ไม่สนใจโปรโตคอลหรือพอร์ต) และฉันต้องการสนับสนุนlocalhostโดเมนนอกเหนือจากโดเมนการผลิตของฉัน ดังนั้นฉันจึงเปลี่ยน$allowedพารามิเตอร์ให้เป็นอาร์เรย์
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
if (!is_array($allowed)) {
$allowed = array($allowed);
}
foreach ($allowed as &$value) {
$value = preg_quote($value, '/');
if (($wildcardPos = strpos($value, '\*')) !== false) {
$value = str_replace('\*', '(.*)', $value);
}
}
$regexp = '/^(' . implode('|', $allowed) . ')$/';
$inputHost = parse_url($input, PHP_URL_HOST);
if ($inputHost === null || !preg_match($regexp, $inputHost, $matches)) {
return 'none';
}
return $input;
}
การใช้งานดังต่อไปนี้:
if (isset($_SERVER['HTTP_ORIGIN'])) {
header("Access-Control-Allow-Origin: " . getCORSHeaderOrigin(array("*.myproduction.com", "localhost"), $_SERVER['HTTP_ORIGIN']));
}
ในกรณีของฉันใช้มุม
ในตัวสกัดกั้น HTTP ของฉันฉันตั้งค่า
with Credentials: true.
ในส่วนหัวของคำขอ