Я намагаюся ввімкнути CORS для всіх субдоменів, портів і протоколів.
Наприклад, я хочу мати змогу запустити запит XHR від http://sub.mywebsite.com:8080/ до https://www.mywebsite.com/ *
Як правило, я б хотів увімкнути запит на відповідність джерел (і обмежено):
//*.mywebsite.com:*/*
Відповіді:
На підставі DaveRandom в відповіді , я також грав навколо і знайшов кілька більш просте рішення Apache , який виробляє один і той же результат ( Access-Control-Allow-Originвстановлюються на поточний конкретний протокол + домен + порт динамічно) без використання будь - яких правил перезапису:
SetEnvIf Origin ^(https?://.+\.mywebsite\.com(?::\d{1,5})?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
І це все.
Ті, хто хоче включити CORS у батьківському домені (наприклад, mywebsite.com) на додаток до всіх його субдоменів, можуть просто замінити регулярний вираз у першому рядку цим:
^(https?://(?:.+\.)?mywebsite\.com(?::\d{1,5})?)$.
Примітка. Для дотримання специфікацій та правильної поведінки кешування ЗАВЖДИ додайте Vary: Originзаголовок відповіді для ресурсів, що підтримуються CORS, навіть для запитів, що не мають CORS, та запитів із забороненим походженням (див. Приклад, чому ).
//у цьому контексті не потрібно уникати , оскільки Apache conf не використовує регулярні вирази, обмежені косою рисою. Regexr скаржиться на те, що в цьому контексті косої риси мають особливе значення як роздільники.
The 'Access-Control-Allow-Origin' header contains multiple values '^(https?://(?:.+.)?aerofotea.com(?::d{1,5})?)$', but only one is allowed. Origin 'http://local.aerofotea.com' is therefore not allowed access.
Специфікація CORS - це майже все. Він підтримує тільки *, nullчи точний протокол + домен + порт: http://www.w3.org/TR/cors/#access-control-allow-origin-response-header
Ваш сервер повинен буде перевірити заголовок джерела за допомогою регулярного вираження, і тоді ви можете повторити значення початкового коду в заголовку відповіді Access-Control-Allow-Origin.
EDIT : Використовуйте рішення @ Noyo замість цього. Це простіше, зрозуміліше і, ймовірно, набагато ефективніше під навантаженням.
ОРИГІНАЛЬНИЙ ВІДПОВІСТЬ ЛІТЬ ТУТ ДЛЯ ІСТОРИЧНИХ ЦІЛЬ ТОЛЬКО !!
Я пограв із цим питанням і придумав це багаторазове рішення .htaccess (або httpd.conf), яке працює з Apache:
<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
# Define the root domain that is allowed
SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.com
# Check that the Origin: matches the defined root domain and capture it in
# an environment var if it does
RewriteEngine On
RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]
# Set the response header to the captured value if there was a match
Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>
Просто встановіть ACCESS_CONTROL_ROOTзмінну вгорі блоку для вашого кореневого домену, і це повторить Origin:значення заголовка запиту назад клієнту у Access-Control-Allow-Origin:значенні заголовка відповіді, якщо воно відповідає вашому домену.
Зауважте також, що ви можете використовувати sub.mydomain.comяк і, ACCESS_CONTROL_ROOTі це обмежить походження sub.mydomain.comта *.sub.mydomain.com(тобто це не повинно бути коренем домену). Елементи, яким дозволено змінюватись (протокол, порт), можна керувати, змінюючи частину Uge, що відповідає регексу.
Я відповідаю на це запитання, оскільки прийнята відповідь не може робити наступного
Наприклад: він не надсилатиме заголовки CORS для http://mywebsite.com під час роботи для http://somedomain.mywebsite.com/
SetEnvIf Origin "http(s)?://(.+\.)?mywebsite\.com(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
Щоб увімкнути свій веб-сайт, просто поставте його замість "mywebsite.com" у вищевказаній конфігурації Apache.
Щоб дозволити кілька сайтів:
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
Тестування Після розгортання:
Наступна відповідь на завиток повинна мати заголовок "Access-Control-Allow-Origin" після зміни.
curl -X GET -H "Origin: http://examplesite1.com" --verbose http://examplesite2.com/query
Мені потрібно було лише рішення для PHP, тому на всякий випадок, коли комусь це також потрібно. Він приймає дозволений рядок введення типу "* .example.com" і повертає ім'я сервера заголовка запиту, якщо вхід відповідає.
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
$allowed = preg_quote($allowed, '/');
if (($wildcardPos = strpos($allowed, '*')) !== false) {
$allowed = str_replace('*', '(.*)', $allowed);
}
$regexp = '/^' . $allowed . '$/';
if (!preg_match($regexp, $input, $matches)) {
return 'none';
}
return $input;
}А ось тестові випадки для постачальника даних phpunit:
// <description> <allowed> <input> <expected>
array('Allow Subdomain', 'www.example.com', 'www.example.com', 'www.example.com'),
array('Disallow wrong Subdomain', 'www.example.com', 'ws.example.com', 'none'),
array('Allow All', '*', 'ws.example.com', '*'),
array('Allow Subdomain Wildcard', '*.example.com', 'ws.example.com', 'ws.example.com'),
array('Disallow Wrong Subdomain no Wildcard', '*.example.com', 'example.com', 'none'),
array('Allow Double Subdomain for Wildcard', '*.example.com', 'a.b.example.com', 'a.b.example.com'),
array('Don\'t fall for incorrect position', '*.example.com', 'a.example.com.evil.com', 'none'),
array('Allow Subdomain in the middle', 'a.*.example.com', 'a.bc.example.com', 'a.bc.example.com'),
array('Disallow wrong Subdomain', 'a.*.example.com', 'b.bc.example.com', 'none'),
array('Correctly handle dots in allowed', 'example.com', 'exampleXcom', 'none'),preg_quote()тому що це правильний спосіб зробити це (хоча .це єдиний мета-символ regexp, дійсний у імені DNS, preg_quote()краще описує передбачувану операцію)
noneце не семантично дійсне значення для заголовка (або, принаймні, не робить те, що він має на увазі) відповідно до специфікації. Таким чином, це return null;може мати більше сенсу для цієї гілки, і в такому випадку жоден заголовок не повинен надсилатися клієнтові, тому це повинно перевірятись абонентом.
preg_quote()цитуватимуть знак * і так, str_replace()наприклад, залишає сироту "\".
Під час налаштування Access-Control-Allow-Originв .htaccess працювали лише наступні дії:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
Я спробував кілька інших пропонованих ключових слів Header append, Header set, ніхто не працював , як це пропонується в багатьох відповідях на SO, хоча я поняття не маю , якщо ці ключові слова застаріли або не дійсні для Nginx .
Ось моє повне рішення:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
Header merge Vary "Origin"
Header always set Access-Control-Allow-Methods "GET, POST"
Header always set Access-Control-Allow-Headers: *
# Cached for a day
Header always set Access-Control-Max-Age: 86400
RewriteEngine On
# Respond with 200OK for OPTIONS
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
У нас виникали подібні проблеми з Font Awesome на статичному домені, який не містить файлів cookie, коли читали шрифти з "домену cookie" (www.domain.tld), і ця публікація була нашим героєм. Дивіться тут: Як я можу виправити проблему веб-шрифту "Заголовок відсутності перехресного походження (CORS)"?
Для типів copy / paste-r (і для отримання реквізиту) я зібрав це разом із усіх внесків і додав його до вершини .htaccess-файлу кореня сайту:
<IfModule mod_headers.c>
<IfModule mod_rewrite.c>
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
</IfModule>
</IfModule>
Супер безпечний, супер елегантний. Любіть це: Вам не потрібно відкривати пропускну здатність ваших серверів для злодіїв ресурсів / типів гарячих посилань.
Реквізити для: @Noyo @DaveRandom @ pratap-koritala
(Я намагався залишити це як коментар до прийнятої відповіді, але поки не можу цього зробити)
Для Spring Boot я знайшов це, RegexCorsConfigurationщо поширює офіційне CorsConfiguration: https://github.com/looorent/spring-security-jwt/blob/master/src/main/java/be/looorent/security/jwt/RegexCorsConfiguration.java
Схоже, оригінальна відповідь була для попереднього Apache 2.4. Мені це не вийшло. Ось що мені довелося змінити, щоб він працював у 2.4. Це буде працювати для будь-якої глибини субдомену вашого company.com .
SetEnvIf Host ^((?:.+\.)*yourcompany\.com?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{REQUEST_SCHEME}e://%{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
Мені довелося трохи змінити відповідь Ларса , оскільки сирота \потрапила в регулярний вираз, щоб тільки порівняти фактичного хоста (не звертаючи уваги на протокол чи порт), і я хотів підтримати localhostдомен, окрім мого виробничого домену. Таким чином я змінив $allowedпараметр на масив.
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
if (!is_array($allowed)) {
$allowed = array($allowed);
}
foreach ($allowed as &$value) {
$value = preg_quote($value, '/');
if (($wildcardPos = strpos($value, '\*')) !== false) {
$value = str_replace('\*', '(.*)', $value);
}
}
$regexp = '/^(' . implode('|', $allowed) . ')$/';
$inputHost = parse_url($input, PHP_URL_HOST);
if ($inputHost === null || !preg_match($regexp, $inputHost, $matches)) {
return 'none';
}
return $input;
}
Використання наступним чином:
if (isset($_SERVER['HTTP_ORIGIN'])) {
header("Access-Control-Allow-Origin: " . getCORSHeaderOrigin(array("*.myproduction.com", "localhost"), $_SERVER['HTTP_ORIGIN']));
}
у моєму випадку з використанням кутових
в моєму перехоплювачі HTTP я встановив
with Credentials: true.
у заголовку запиту