Access-Control-Allow-Origin Multiple Origin Domains?

Apakah ada cara untuk mengizinkan beberapa domain silang menggunakan Access-Control-Allow-Originheader?

Saya sadar akan hal itu *, tetapi terlalu terbuka. Saya benar-benar ingin mengizinkan hanya beberapa domain.

Sebagai contoh, sesuatu seperti ini:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

Saya sudah mencoba kode di atas tetapi sepertinya tidak berfungsi di Firefox.

Apakah mungkin untuk menentukan beberapa domain atau saya terjebak hanya dengan satu domain?

Kedengarannya seperti cara yang disarankan untuk melakukannya adalah meminta server Anda membaca header Asal dari klien, membandingkannya dengan daftar domain yang ingin Anda izinkan, dan jika cocok, gema nilai Originheader kembali ke klien sebagai yang Access-Control-Allow-Originheader respon.

Dengan .htaccessAnda dapat melakukannya seperti ini:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

Solusi lain yang saya gunakan di PHP:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

Ini bekerja untuk saya:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Saat dimasukkan .htaccess, pasti akan berhasil.

Saya memiliki masalah yang sama dengan font-woff, beberapa subdomain harus memiliki akses. Untuk mengizinkan subdomain saya menambahkan sesuatu seperti ini ke httpd.conf saya:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

Untuk beberapa domain, Anda cukup mengubah regex di SetEnvIf.

Berikut ini cara mengulang kembali header Asal jika cocok dengan domain Anda dengan Nginx, ini berguna jika Anda ingin menyajikan font beberapa sub-domain:

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

Inilah yang saya lakukan untuk aplikasi PHP yang diminta oleh AJAX

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

Jika asal yang diminta diizinkan oleh server saya, kembalikan $http_originsendiri sebagai nilai Access-Control-Allow-Origintajuk alih-alih mengembalikan *wildcard.

Ada satu kelemahan yang harus Anda ketahui: Segera setelah Anda meng-out-source file ke CDN (atau server lain yang tidak mengizinkan skrip) atau jika file Anda di-cache pada proxy, mengubah respons berdasarkan 'Asal' header permintaan tidak akan berfungsi.

Untuk banyak domain, di .htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Untuk pengguna Nginx untuk memungkinkan CORS untuk banyak domain. Saya suka contoh @ marshall meskipun jawaban hanya cocok dengan satu domain. Untuk mencocokkan daftar domain dan subdomain regex ini membuatnya mudah untuk bekerja dengan font:

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

Ini hanya akan menggemakan tajuk "Akses-Kontrol-Bolehkan-Asal" yang cocok dengan daftar domain yang diberikan.

Untuk IIS 7.5+ dengan modul URL Rewrite 2.0 diinstal silakan lihat jawaban SO ini

Inilah solusi untuk aplikasi web Java, berdasarkan jawaban dari yesthatguy.

Saya menggunakan Jersey REST 1.x

Konfigurasikan web.xml untuk mengetahui Jersey REST dan CORSResponseFilter

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

Berikut kode untuk CORSResponseFilter

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

Seperti disebutkan di atas, Access-Control-Allow-Originharus unik dan Varyharus ditetapkan Originjika Anda berada di belakang CDN (Jaringan Pengiriman Konten).

Bagian yang relevan dari konfigurasi Nginx saya:

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

Mungkin saya salah, tetapi sejauh yang saya bisa lihat Access-Control-Allow-Originmemiliki "origin-list"parameter sebagai.

Dengan definisi sebuah origin-listadalah:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

Dan dari sini, saya berpendapat bahwa asal-usul yang berbeda diakui dan harus dipisahkan ruang .

Untuk aplikasi ExpressJS Anda dapat menggunakan:

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

Saya kesulitan mengatur ini untuk domain yang menjalankan HTTPS, jadi saya pikir saya akan membagikan solusinya. Saya menggunakan arahan berikut dalam file httpd.conf saya :

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

Ubah example.comnama domain Anda. Tambahkan ini di <VirtualHost x.x.x.x:xx>dalam file httpd.conf Anda . Perhatikan bahwa jika Anda VirtualHostmemiliki akhiran port (mis. :80) Maka arahan ini tidak akan berlaku untuk HTTPS, jadi Anda juga harus pergi ke /etc/apache2/situss available/ default-ssl dan tambahkan arahan yang sama dalam file itu, di dalamnya dari <VirtualHost _default_:443>bagian.

Setelah file konfigurasi diperbarui, Anda harus menjalankan perintah berikut di terminal:

a2enmod headers
sudo service apache2 reload

Jika Anda mengalami masalah dengan font, gunakan:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

Pendekatan yang lebih fleksibel adalah dengan menggunakan ekspresi Apache 2.4. Anda dapat mencocokkan dengan domain, jalur, dan hampir setiap variabel permintaan lainnya. Meskipun respons yang dikirim selalu *, hanya pemohon yang menerimanya yang memenuhi persyaratan. Menggunakan Origintajuk permintaan (atau yang lainnya) dalam ekspresi menyebabkan Apache untuk secara otomatis menggabungkannya ke Varytajuk respons, sehingga respons tidak akan digunakan kembali untuk asal yang berbeda.

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

Kode PHP:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

HTTP_ORIGIN tidak digunakan oleh semua browser. Seberapa amankah HTTP_ORIGIN? Bagi saya itu muncul kosong di FF.
Saya memiliki situs yang saya izinkan akses ke situs saya mengirim melalui ID situs, saya kemudian memeriksa DB saya untuk catatan dengan id itu dan mendapatkan nilai kolom SITE_URL (www.yoursite.com).

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

Bahkan jika pengiriman melalui ID situs yang valid, permintaan harus dari domain yang tercantum dalam DB saya yang terkait dengan ID situs tersebut.

Berikut adalah opsi yang diperluas untuk apache yang mencakup beberapa definisi font terbaru dan terencana:

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

Untuk memfasilitasi beberapa akses domain untuk layanan ASMX, saya membuat fungsi ini di file global.asax:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

Ini memungkinkan penanganan CORS untuk OPTIONSkata kerja juga.

Contoh kode PHP untuk subdomain yang cocok.

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

Untuk copy / paste yang cukup mudah untuk aplikasi .NET, saya menulis ini untuk mengaktifkan CORS dari dalam global.asaxfile. Kode ini mengikuti saran yang diberikan dalam jawaban yang saat ini diterima, yang mencerminkan asal apa pun yang diberikan dalam permintaan ke dalam respons. Ini secara efektif mencapai '*' tanpa menggunakannya.

Alasannya adalah ini memungkinkan beberapa fitur CORS lainnya , termasuk kemampuan untuk mengirim AJAX XMLHttpRequest dengan atribut 'withCredentials' yang disetel ke 'true'.

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

Dan satu jawaban lagi di Django. Untuk memiliki satu tampilan memungkinkan CORS dari beberapa domain, berikut ini adalah kode saya:

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

AWS Lambda / API Gateway

Untuk informasi tentang cara mengonfigurasi beberapa asal pada Serverless AWS Lambda dan API Gateway - meskipun solusi yang agak besar untuk sesuatu yang orang merasa harus cukup mudah - lihat di sini:

https://stackoverflow.com/a/41708323/1624933

Saat ini tidak memungkinkan untuk mengonfigurasi beberapa asal di API Gateway, lihat di sini: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html ), tetapi rekomendasinya (dalam jawaban di atas) adalah:

• periksa header Asal yang dikirim oleh browser
• periksa dengan daftar putih asal
• jika cocok, kembalikan Origin yang masuk sebagai header Access-Control-Allow-Origin, kalau tidak kembalikan placeholder (asal default).

Solusi sederhana ini jelas mengaktifkan SEMUA (*) seperti:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

Tetapi mungkin lebih baik untuk melakukan ini di sisi API Gateway (lihat tautan ke-2 di atas).

Dukungan Google menjawab pada penyajian iklan melalui SSL dan tata bahasa di RFC itu sendiri tampaknya menunjukkan bahwa Anda dapat membatasi ruang URL. Tidak yakin seberapa baik ini didukung di browser yang berbeda.

Jika Anda mencoba begitu banyak contoh kode seperti saya untuk membuatnya berfungsi menggunakan CORS, perlu disebutkan bahwa Anda harus menghapus cache terlebih dahulu untuk mencoba jika itu benar-benar berfungsi, mirip dengan masalah seperti ketika gambar lama masih ada, bahkan jika itu dihapus di server (karena masih disimpan dalam cache Anda).

Misalnya CTRL + SHIFT + DELdi Google Chrome untuk menghapus cache Anda.

Ini membantu saya menggunakan kode ini setelah mencoba banyak .htaccesssolusi murni dan ini sepertinya satu-satunya yang berfungsi (setidaknya bagi saya):

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

Perhatikan juga bahwa ini tersebar luas sehingga banyak solusi mengatakan Anda harus mengetik Header set ...tetapi memang demikian Header add .... Semoga ini bisa membantu seseorang yang memiliki masalah yang sama selama beberapa jam sekarang seperti saya.

Jawaban di bawah ini khusus untuk C #, tetapi konsep tersebut harus berlaku untuk semua platform yang berbeda.

Untuk mengizinkan Permintaan Lintas Asal dari api web, Anda harus mengizinkan permintaan Opsi ke Aplikasi Anda dan Menambahkan anotasi di bawah pada tingkat pengontrol.

[EnableCors (UrlString, Header, Method)] Sekarang asal hanya dapat diteruskan sebagai string. JADI, jika Anda ingin mengirimkan lebih dari satu URL dalam permintaan, berikan sebagai nilai yang dipisah koma.

UrlString = " https: //a.hello.com,https: //b.hello.com "

Hanya satu sumber yang dapat ditentukan untuk header Access-Control-Allow-Origin. Tetapi Anda dapat mengatur asal dalam respons Anda sesuai dengan permintaan. Juga jangan lupa mengatur header Vary. Dalam PHP saya akan melakukan hal berikut:

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

Kami juga dapat mengatur ini di file Global.asax untuk aplikasi Asp.net.

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }