การเข้าถึง - การควบคุม - อนุญาต - Origin หลายโดเมน Origin?

มีวิธีการอนุญาตให้ข้ามหลายโดเมนโดยใช้Access-Control-Allow-Originส่วนหัวหรือไม่

ฉันรู้เรื่อง*นี้ แต่มันเปิดเกินไป ฉันต้องการอนุญาตโดเมนเพียงสองสามข้อ

ตัวอย่างเช่นสิ่งนี้:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

ฉันลองใช้รหัสด้านบนแล้ว แต่ดูเหมือนจะไม่ทำงานใน Firefox

เป็นไปได้หรือไม่ที่จะระบุหลายโดเมนหรือติดอยู่กับโดเมนเดียว?

เสียงเหมือนวิธีที่แนะนำให้ทำคือให้เซิร์ฟเวอร์ของคุณอ่านส่วนหัว Origin จากไคลเอ็นต์เปรียบเทียบกับรายการโดเมนที่คุณต้องการอนุญาตและหากตรงกับนั้นให้สะท้อนค่าของOriginส่วนหัวกลับไปที่ไคลเอ็นต์เป็นAccess-Control-Allow-Originหัวในการตอบสนอง

ด้วย.htaccessคุณสามารถทำเช่นนี้

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

อีกวิธีที่ฉันใช้ใน PHP:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

สิ่งนี้ใช้ได้กับฉัน:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

เมื่อใส่เข้าไป.htaccessมันจะทำงานได้อย่างแน่นอน

ฉันมีปัญหาเดียวกันกับ woff-font หลายโดเมนย่อยต้องเข้าถึง หากต้องการอนุญาตให้ใช้โดเมนย่อยฉันได้เพิ่มสิ่งนี้ใน httpd.conf ของฉัน:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

สำหรับหลายโดเมนคุณสามารถเปลี่ยน regex SetEnvIfได้

ต่อไปนี้เป็นวิธีการสะท้อนส่วนหัว Origin กลับมาหากตรงกับโดเมนของคุณกับ Nginx สิ่งนี้มีประโยชน์หากคุณต้องการแสดงแบบอักษรหลายโดเมนย่อย:

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

นี่คือสิ่งที่ฉันทำสำหรับแอปพลิเคชัน PHP ซึ่ง AJAX ร้องขอ

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

หากเซิร์ฟเวอร์ของฉันอนุญาตให้ส่งคำขอต้นฉบับให้คืนค่า$http_originตัวเองเป็นค่าAccess-Control-Allow-Originส่วนหัวแทนที่จะส่งคืน*อักขระตัวแทน

มีข้อเสียอย่างหนึ่งที่คุณควรระวัง: ทันทีที่คุณส่งไฟล์ไปยัง CDN (หรือเซิร์ฟเวอร์อื่น ๆ ที่ไม่อนุญาตให้ใช้สคริปต์) หรือหากไฟล์ของคุณถูกแคชบนพร็อกซีให้เปลี่ยนการตอบสนองตาม 'Origin' ส่วนหัวคำขอจะไม่ทำงาน

สำหรับหลายโดเมนใน.htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

สำหรับผู้ใช้ Nginx ให้อนุญาต CORS สำหรับหลายโดเมน ฉันชอบตัวอย่างของ @ marshall แม้ว่าคำตอบของเขาจะตรงกับโดเมนเดียวเท่านั้น เพื่อให้ตรงกับรายการโดเมนและโดเมนย่อย regex นี้ทำให้ง่ายต่อการทำงานกับแบบอักษร:

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

สิ่งนี้จะสะท้อนเฉพาะส่วนหัว "Access-Control-Allow-Origin" ที่ตรงกับรายการโดเมนที่ระบุ

สำหรับ IIS 7.5+ ที่มีโมดูล URL Rewrite 2.0 ติดตั้งอยู่โปรดดูคำตอบ SO นี้

ต่อไปนี้เป็นวิธีแก้ปัญหาสำหรับเว็บแอป Java ตามคำตอบจาก yesthatguy

ฉันใช้ Jersey REST 1.x

กำหนดค่า web.xml ที่ต้องระวัง Jersey REST และ CORSResponseFilter

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

นี่คือรหัสสำหรับ CORSResponseFilter

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

ดังกล่าวข้างต้นAccess-Control-Allow-Originควรไม่ซ้ำกันและVaryควรตั้งเป็นOriginหากคุณอยู่หลัง CDN (เครือข่ายการจัดส่งเนื้อหา)

ส่วนที่เกี่ยวข้องของการกำหนดค่า Nginx ของฉัน:

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

บางทีฉันผิด แต่เท่าที่ฉันเห็นAccess-Control-Allow-Originมี"origin-list"พารามิเตอร์เป็น

โดยนิยามorigin-listคือ:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

และจากนี้ผมเถียงต้นกำเนิดที่แตกต่างกันมีการยอมรับและควรเป็นพื้นที่ที่แยกออกจากกัน

สำหรับแอปพลิเคชัน ExpressJS คุณสามารถใช้:

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

ฉันพยายามตั้งค่านี้สำหรับโดเมนที่ใช้ HTTPS ดังนั้นฉันจึงคิดว่าฉันจะแบ่งปันวิธีแก้ปัญหา ฉันใช้คำสั่งต่อไปนี้ในไฟล์ httpd.confของฉัน:

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

เปลี่ยนexample.comเป็นชื่อโดเมนของคุณ เพิ่มภายในนี้<VirtualHost x.x.x.x:xx>ของคุณในhttpd.confไฟล์ โปรดสังเกตว่าหากคุณVirtualHostมีคำต่อท้ายพอร์ต (เช่น:80) คำสั่งนี้จะไม่ใช้กับ HTTPS ดังนั้นคุณจะต้องไปที่/ etc / apache2 / sites-available / default-sslและเพิ่มคำสั่งเดียวกันในไฟล์นั้น ของ<VirtualHost _default_:443>ส่วน

เมื่ออัปเดตไฟล์กำหนดค่าแล้วคุณจะต้องเรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัล:

a2enmod headers
sudo service apache2 reload

หากคุณมีปัญหากับแบบอักษรให้ใช้:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

แนวทางที่ยืดหยุ่นมากขึ้นคือการใช้นิพจน์ของ Apache 2.4 คุณสามารถจับคู่กับโดเมนพา ธ และตัวแปรคำขออื่น ๆ แม้ว่าการตอบกลับที่ส่งจะเป็นไปตลอดเวลา*ผู้ร้องขอเพียงรายเดียวเท่านั้นที่ได้รับการตอบรับนั้นเป็นผู้ตอบสนองความต้องการอยู่แล้ว การใช้Originส่วนหัวคำขอ (หรืออื่น ๆ ) ในนิพจน์ทำให้ Apache รวมโดยอัตโนมัติในVaryส่วนหัวของการตอบสนองดังนั้นการตอบสนองนั้นจะไม่ถูกนำมาใช้ซ้ำสำหรับแหล่งกำเนิดที่แตกต่างกัน

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

รหัส PHP:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

HTTP_ORIGIN ไม่ได้ใช้โดยเบราว์เซอร์ทั้งหมด HTTP_ORIGIN ปลอดภัยแค่ไหน? สำหรับฉันมันว่างเปล่าใน FF
ฉันมีเว็บไซต์ที่อนุญาตให้เข้าถึงไซต์ของฉันส่งผ่าน ID ไซต์จากนั้นฉันตรวจสอบฐานข้อมูลของฉันสำหรับบันทึกด้วยรหัสนั้นและรับค่าคอลัมน์ SITE_URL (www.yoursite.com)

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

แม้ว่าการส่งผ่าน ID ไซต์ที่ถูกต้องการร้องขอจะต้องมาจากโดเมนที่แสดงในฐานข้อมูลของฉันที่เชื่อมโยงกับ ID ไซต์นั้น

ต่อไปนี้เป็นตัวเลือกเพิ่มเติมสำหรับ Apache ซึ่งมีคำจำกัดความแบบอักษรล่าสุดและที่วางแผนไว้บางส่วน:

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

เพื่ออำนวยความสะดวกในการเข้าถึงหลายโดเมนสำหรับบริการ ASMX ฉันได้สร้างฟังก์ชันนี้ในไฟล์ global.asax:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

วิธีนี้ช่วยให้ CORS สามารถจัดการOPTIONSกริยาได้เช่นกัน

ตัวอย่างโค้ด PHP สำหรับการจับคู่โดเมนย่อย

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

สำหรับการคัดลอก / วางที่ค่อนข้างง่ายสำหรับแอปพลิเคชั่น. NET ฉันเขียนสิ่งนี้เพื่อเปิดใช้งาน CORS จากภายใน global.asaxไฟล์ รหัสนี้เป็นไปตามคำแนะนำที่ให้ไว้ในคำตอบที่ยอมรับในปัจจุบันซึ่งสะท้อนให้เห็นถึงแหล่งกำเนิดใดก็ตามที่อยู่ในคำขอในการตอบกลับ สิ่งนี้จะบรรลุถึง '*' โดยไม่ต้องใช้

สาเหตุของการทำเช่นนี้คือมันเปิดใช้งานคุณสมบัติ CORS อื่น ๆรวมถึงความสามารถในการส่ง AJAX XMLHttpRequest ด้วยแอตทริบิวต์ 'withCredentials' ที่ตั้งค่าเป็น 'จริง'

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

และอีกหนึ่งคำตอบใน Django ในการมีมุมมองเดียวอนุญาตให้ CORS จากหลายโดเมนนี่คือรหัสของฉัน:

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

เกตเวย์ AWS Lambda / API

สำหรับข้อมูลเกี่ยวกับวิธีกำหนดค่าต้นกำเนิดหลายจุดบน Serverless AWS Lambda และ API Gateway - แม้ว่าจะเป็นโซลูชันที่ค่อนข้างใหญ่สำหรับบางสิ่งที่ควรรู้สึกว่าตรงไปตรงมา - ดูที่นี่:

https://stackoverflow.com/a/41708323/1624933

ไม่สามารถกำหนดค่าต้นกำเนิดหลายรายการใน API เกตเวย์ได้ในขณะนี้ไม่สามารถดูได้ที่นี่: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html ) แต่เป็นข้อเสนอแนะ (ใน คำตอบข้างต้น) คือ:

• ตรวจสอบส่วนหัวของต้นฉบับที่ส่งโดยเบราว์เซอร์
• ตรวจสอบกับบัญชีขาวของต้นกำเนิด
• หากตรงกันให้ส่งคืน Origin ที่เข้ามาเป็นส่วนหัว Access-Control-Allow-Origin มิฉะนั้นส่งคืนตัวยึดตำแหน่ง (ต้นกำเนิดเริ่มต้น)

วิธีแก้ปัญหาง่ายๆคือทำให้ทุกอย่าง (*) เป็นเช่นนี้:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

แต่การทำเช่นนี้จะดีกว่าในด้าน API เกตเวย์ (ดูลิงก์ที่ 2 ด้านบน)

คำตอบการสนับสนุนของ Google ในการแสดงโฆษณาผ่าน SSLและไวยากรณ์ใน RFC นั้นดูเหมือนจะบ่งบอกว่าคุณสามารถเว้นวรรคคั่น URL ได้ ไม่แน่ใจว่ารองรับได้ดีแค่ไหนในเบราว์เซอร์ที่แตกต่างกัน

หากคุณลองตัวอย่างโค้ดจำนวนมากเช่นฉันเพื่อให้มันทำงานโดยใช้ CORS มันมีค่าที่จะกล่าวถึงว่าคุณต้องล้างแคชก่อนเพื่อลองใช้งานได้จริงคล้ายกับปัญหาเช่นเมื่อภาพเก่ายังคงปรากฏแม้ว่าจะเป็น ลบบนเซิร์ฟเวอร์ (เพราะยังคงถูกบันทึกไว้ในแคชของคุณ)

ตัวอย่างเช่นCTRL + SHIFT + DELใน Google Chrome เพื่อลบแคชของคุณ

สิ่งนี้ช่วยฉันในการใช้รหัสนี้หลังจากลองใช้.htaccessวิธีแก้ปัญหาที่บริสุทธิ์มากมายและนี่ดูเหมือนจะเป็นงานเดียว

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

นอกจากนี้โปรดทราบว่ามีการแพร่กระจายอย่างกว้างขวางว่าโซลูชันจำนวนมากบอกว่าคุณต้องพิมพ์Header set ...แต่ก็เป็นHeader add ...เช่นนั้น หวังว่านี่จะช่วยให้คนที่มีปัญหาเหมือนกันบางชั่วโมงเหมือนฉัน

คำตอบด้านล่างเป็นคำเฉพาะสำหรับ C # แต่แนวคิดควรใช้กับแพลตฟอร์มที่แตกต่างกันทั้งหมด

ในการอนุญาตคำขอ Cross Origin จาก web api คุณจะต้องอนุญาตคำขอ Option ให้กับแอปพลิเคชันของคุณและเพิ่มคำอธิบายประกอบด้านล่างในระดับตัวควบคุม

[EnableCors (UrlString, ส่วนหัว, วิธีการ)] ตอนนี้ต้นกำเนิดสามารถส่งผ่านได้เป็นสตริงเท่านั้น ดังนั้นหากคุณต้องการที่จะส่งมากกว่าหนึ่ง URL ในคำขอผ่านมันเป็นค่าคั่นด้วยเครื่องหมายจุลภาค

UrlString = " https: //a.hello.com,https: //b.hello.com "

สามารถระบุแหล่งกำเนิดเดียวได้สำหรับส่วนหัว Access-Control-Allow-Origin แต่คุณสามารถตั้งค่าต้นกำเนิดในการตอบสนองของคุณตามคำขอ นอกจากนี้อย่าลืมตั้งค่าส่วนหัวแตกต่างกันไป ใน PHP ฉันจะทำสิ่งต่อไปนี้:

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

นอกจากนี้เรายังสามารถตั้งค่านี้ในไฟล์ Global.asax สำหรับแอปพลิเคชัน Asp.net

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }