Кілька доменів доступу-контроль-дозволити-походження?

Чи є спосіб дозволити декілька крос-доменів за допомогою Access-Control-Allow-Originзаголовка?

Мені відомо *, але це занадто відкрито. Я дуже хочу дозволити лише пару доменів.

Як приклад, щось подібне:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

Я спробував вищевказаний код, але він, здається, не працює у Firefox.

Чи можна вказати кілька доменів або я застряг лише з одним?

Здається, що рекомендований спосіб зробити це, щоб ваш сервер прочитав заголовок Origin від клієнта, порівняйте його зі списком доменів, які ви хочете дозволити, і якщо він відповідає, повторіть значення Originзаголовка назад клієнту як Access-Control-Allow-Originзаголовок у відповіді.

З цим .htaccessви можете зробити так:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

Ще одне рішення, яке я використовую в PHP:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

Це працювало для мене:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Коли його помістять .htaccess, він буде працювати точно.

У мене були ті ж проблеми з woff-шрифтами, кілька субдоменів мали мати доступ. Щоб дозволити субдомени, я додав щось подібне до свого httpd.conf:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

Для кількох доменів ви можете просто змінити регулярний вираз SetEnvIf.

Ось як повторити заголовок Origin назад, якщо він відповідає вашому домену Nginx, це корисно, якщо ви хочете подавати шрифтові декілька субдоменів:

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

Ось що я зробив для програми PHP, яку запитує AJAX

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

Якщо мій сервер дозволений джерелом запиту, поверніть $http_originсебе як значення Access-Control-Allow-Originзаголовка замість повернення *підстановки.

Є один недолік, про який слід пам’ятати: Як тільки ви надсилаєте вихідні файли на CDN (або будь-який інший сервер, який не дозволяє сценаріїв) або якщо ваші файли кешуються на проксі, змінюючи відповідь на основі «Походження» заголовок запиту не працюватиме.

Для кількох доменів у вашому .htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Щоб користувачі Nginx могли використовувати CORS для кількох доменів. Мені подобається приклад @ marshall, хоча його анвер відповідає лише одному домену. Щоб відповідати списку домену та субдомену, цей регулярний вираз полегшує роботу з шрифтами:

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

Це відображатиметься лише у заголовках "Access-Control-Allow-Origin", які відповідають вказаному списку доменів.

Для встановленого IIS 7.5+ з встановленим модулем Rewrite 2.0, будь ласка, дивіться цю відповідь

Ось рішення для веб-програми Java, засноване на відповіді від yesthatguy.

Я використовую Джерсі REST 1.x

Налаштуйте web.xml так, щоб він був в курсі Jersey REST та CORSResponseFilter

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

Ось код для CORSResponseFilter

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

Як було сказано вище, він Access-Control-Allow-Originповинен бути унікальним і Varyповинен бути налаштований, Originякщо ви стоїте за CDN (Network Delivery Network).

Відповідна частина моєї конфігурації Nginx:

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

Можливо, я помиляюся, але, наскільки я бачу, Access-Control-Allow-Originмає "origin-list"параметр.

За визначеннямorigin-list є:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

І з цього я стверджую, що визнані різні походження, і їх слід розділити простір .

Для програм ExpressJS ви можете використовувати:

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

Я намагався встановити це для домену, на якому працює HTTPS, тож я подумав, що поділюсь цим рішенням. У моєму файлі httpd.conf я використав таку директиву :

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

Змініть example.comсвоє доменне ім’я. Додайте це всередину <VirtualHost x.x.x.x:xx>у свій файл httpd.conf . Зауважте, що якщо у вас VirtualHostє суфікс порту (наприклад :80), ця директива не застосовуватиметься до HTTPS, тому вам також потрібно буде перейти до / etc / apache2 / sites-available / default-ssl і додати ту саму директиву у цей файл, всередині з <VirtualHost _default_:443>розділу.

Після оновлення конфігураційних файлів вам потрібно буде виконати наступні команди в терміналі:

a2enmod headers
sudo service apache2 reload

Якщо у вас виникли проблеми з шрифтами, використовуйте:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

Більш гнучким підходом є використання виразів Apache 2.4. Ви можете співставити домени, шляхи та майже всі інші змінні запиту. Хоча відповідь надсилається завжди *, лише запитувачі, які її отримують, - це ті, хто так чи інакше відповідають вимогам. Використання Origin(або будь-якого іншого) заголовка запиту в виразі призводить до того, що Apache автоматично Varyзробить його в заголовку відповіді, так що відповідь не буде повторно використаний для іншого походження.

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

HTTP_ORIGIN використовується не у всіх браузерах. Наскільки безпечний HTTP_ORIGIN? Для мене він виходить порожнім у ФФ.
У мене сайти, на які я дозволяю отримати доступ до свого сайту, надсилаються через ідентифікатор сайту, потім я перевіряю мій БД на запис із цим ідентифікатором і отримую значення стовпця SITE_URL (www.yoursite.com).

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

Навіть якщо надсилати через дійсний ідентифікатор сайту, запит повинен бути з домену, вказаного в моїй БД, пов’язаного з цим ідентифікатором сайту.

Ось розширений варіант для apache, який включає деякі останні та заплановані визначення шрифту:

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

Щоб полегшити доступ до декількох доменів для послуги ASMX, я створив цю функцію у файлі global.asax:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

Це дозволяє також поводитись з OPTIONSдієсловом CORS .

Приклад PHP-коду для відповідності субдоменів.

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

Для досить простого копіювання / вставки для .NET-додатків я написав це, щоб увімкнути CORS зсередини global.asaxфайлу. Цей код відповідає рекомендаціям, наданим у відповіді, прийнятої в даний час, відображаючи будь-яке походження, яке надається у запиті у відповідь. Це ефективно досягає "*", не використовуючи його.

Причиною цього є те, що він дозволяє безліч інших функцій CORS , включаючи можливість надсилати AJAX XMLHttpRequest з атрибутом 'withCredentials', встановленим на 'true'.

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

PHP-код:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

І ще одна відповідь у Джанго. Щоб мати єдиний вигляд, дозволяють CORS з кількох доменів, ось мій код:

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

Шлюз AWS Lambda / API

Інформацію про те, як налаштувати декілька джерел на сервері AWS Lambda та API Gateway - хоча це досить велике рішення для того, що, напевно, було б досить зрозумілим - дивіться тут:

https://stackoverflow.com/a/41708323/1624933

Наразі неможливо налаштувати кілька джерел в шлюзі API, дивіться тут: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html ), але рекомендацію (в відповідь вище):

• перевірити заголовок Origin, надісланий браузером
• порівняйте його з білим списком походження
• якщо вона збігається, поверніть вхідне джерело як заголовок Access-Control-Allow-Origin, в іншому випадку поверніть заповнювач місця (початкове походження).

Просте рішення, очевидно, дозволяє ВСІМ (*) так:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

Але це може бути краще зробити це на стороні шлюзу API (див. 2-е посилання вище).

Відповідь служби підтримки Google щодо розміщення оголошень через SSL та граматики в самій програмі RFC , схоже, вказує на те, що ви можете обмежувати URL-адреси. Не впевнені, наскільки добре це підтримується в різних браузерах.

Якщо ви спробуєте так багато прикладів коду, як я, щоб він працював за допомогою CORS, варто згадати, що ви повинні спочатку очистити кеш, щоб спробувати, чи він насправді працює, подібний до таких питань, як коли-небудь старі зображення все ще присутні, навіть якщо це видалено на сервері (оскільки він все ще зберігається у вашому кеші).

Наприклад, CTRL + SHIFT + DELв Google Chrome для видалення кешу.

Це допомогло мені використати цей код після спробу багатьох чистих .htaccessрішень, і це здавалося єдиним працюючим (принаймні для мене):

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

Також зауважте, що в багатьох рішеннях говориться, що потрібно вводити, Header set ...але це так Header add .... Сподіваюсь, це допомагає комусь із подібними проблемами протягом декількох годин, як я.

Нижче відповідь є специфічною для C #, але концепція повинна бути застосовна для всіх різних платформ.

Щоб дозволити запити на перехресне походження з веб-api, потрібно дозволити запити Option у вашій програмі та додати нижче анотації на рівні контролера.

[EnableCors (UrlString, Header, Method)] Тепер джерела можна передавати лише як рядок. Так, якщо ви хочете передати більше однієї URL-адреси у запиті, передайте його як значення, відокремлене комою.

UrlString = " https: //a.hello.com,https: //b.hello.com "

Для заголовка Access-Control-Allow-Origin може бути вказано лише одне джерело. Але ви можете встановити джерело у своїй відповіді відповідно до запиту. Також не забудьте встановити заголовок Vary. У PHP я би зробив наступне:

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

Ми також можемо встановити це у файлі Global.asax для програми Asp.net.

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }