Чи є спосіб дозволити декілька крос-доменів за допомогою Access-Control-Allow-Origin
заголовка?
Мені відомо *
, але це занадто відкрито. Я дуже хочу дозволити лише пару доменів.
Як приклад, щось подібне:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example
Я спробував вищевказаний код, але він, здається, не працює у Firefox.
Чи можна вказати кілька доменів або я застряг лише з одним?
Access-Control-Allow-Origin
заголовку, це не означає, що інші домени не можуть запустити метод у цій кінцевій точці (наприклад, метод REST API). Це просто означає, що заборонені джерела не можуть використовувати результат у JavaScript (браузер забезпечує це). Для обмеження доступу до кінцевої точки для конкретних доменів використовуйте фільтр запитів на стороні сервера, який, наприклад, повертає HTTP 401 для заборонених доменів.
Vary: Origin
заголовок, коли потрібно використовувати кілька URL-адрес, див.: Fetch.spec.whatwg.org/#cors-protocol-and-http-caches