मैं सभी उप-डोमेन, पोर्ट और प्रोटोकॉल के लिए CORS को सक्षम करने का प्रयास कर रहा हूं।
उदाहरण के लिए, मैं http://sub.mywebsite.com:8080/ से https://www.mywebsite.com/ * पर XHR रिक्वेस्ट चलाने में सक्षम होना चाहता हूं ।
आमतौर पर, मैं मूल मिलान (और सीमित) से अनुरोध को सक्षम करना चाहूंगा:
//*.mywebsite.com:*/*
जवाबों:
डेवग्रैंडम के उत्तर के आधार पर , मैं भी खेल रहा था और थोड़ा सरल अपाचे समाधान पाया गया, जो Access-Control-Allow-Originकिसी भी पुनर्लेखन नियमों का उपयोग किए बिना एक ही परिणाम ( वर्तमान विशिष्ट प्रोटोकॉल + डोमेन + पोर्ट पर गतिशील रूप से सेट) है:
SetEnvIf Origin ^(https?://.+\.mywebsite\.com(?::\d{1,5})?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
और बस।
जो लोग इसके सभी उप-डोमेन के अलावा मूल डोमेन (जैसे mywebsite.com) पर CORS को सक्षम करना चाहते हैं, वे इस एक के साथ पहली पंक्ति में नियमित अभिव्यक्ति को बदल सकते हैं:
^(https?://(?:.+\.)?mywebsite\.com(?::\d{1,5})?)$।
नोट: अटकलें अनुपालन और सही कैशिंग व्यवहार के लिए, ALWAYS Vary: Originकॉर्स-सक्षम संसाधनों के लिए प्रतिक्रिया शीर्षलेख जोड़ते हैं , यहां तक कि गैर-कोर अनुरोधों के लिए और एक अस्वीकृत मूल से ( उदाहरण देखें क्यों )।
//इस संदर्भ में बचने की कोई आवश्यकता नहीं है , क्योंकि Apache conf में स्लैश-सीमांकित नियमित अभिव्यक्तियों का उपयोग नहीं किया गया है। Regexr शिकायत करता है, क्योंकि उस संदर्भ में, स्लैम का अर्थ सीमांकक के रूप में विशेष है।
The 'Access-Control-Allow-Origin' header contains multiple values '^(https?://(?:.+.)?aerofotea.com(?::d{1,5})?)$', but only one is allowed. Origin 'http://local.aerofotea.com' is therefore not allowed access.
CORS कल्पना ऑल-ऑर-नथिंग है। यह केवल समर्थन करता है *, nullया सटीक प्रोटोकॉल + डोमेन + पोर्ट: http://www.w3.org/TR/cors/#access-control-allow-origin-response-header
आपके सर्वर को regex का उपयोग करके मूल शीर्षलेख को मान्य करना होगा, और उसके बाद आप Access-Control-Allow-Origin प्रतिक्रिया शीर्ष लेख में मूल मान को प्रतिध्वनित कर सकते हैं।
संपादित करें : इस के बजाय @ नोयो के समाधान का उपयोग करें । यह सरल, स्पष्ट है और लोड के तहत बहुत अधिक प्रदर्शन की संभावना है।
केवल व्यावसायिक इतिहास के लिए मूल उत्तर छोड़ दिया !!
मैंने इस मुद्दे के साथ कुछ खेल किया और इस पुन: प्रयोज्य .htaccess (या httpd.conf) समाधान के साथ आया जो अपाचे के साथ काम करता है:
<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
# Define the root domain that is allowed
SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.com
# Check that the Origin: matches the defined root domain and capture it in
# an environment var if it does
RewriteEngine On
RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]
# Set the response header to the captured value if there was a match
Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>
बस ACCESS_CONTROL_ROOTअपने रूट डोमेन में ब्लॉक के शीर्ष पर वैरिएबल सेट करें और यदि यह आपके डोमेन से मेल खाता है, तो रिस्पांस हेडर वैल्यू Origin:में क्लाइंट के लिए रिक्वेस्ट हेडर वैल्यू वापस कर देगा Access-Control-Allow-Origin:।
यह भी ध्यान रखें कि आप उपयोग कर सकते हैं कि sub.mydomain.comके रूप में ACCESS_CONTROL_ROOTहै और इसे करने के लिए मूल तक सीमित कर देगा sub.mydomain.comऔर *.sub.mydomain.com(यानी यह डोमेन जड़ होना जरूरी नहीं है)। जिन तत्वों को अलग-अलग करने की अनुमति है (प्रोटोकॉल, पोर्ट) को रेगेक्स के यूआरआई मिलान वाले हिस्से को संशोधित करके नियंत्रित किया जा सकता है।
मैं इस प्रश्न का उत्तर दे रहा हूं, क्योंकि स्वीकृत उत्तर निम्नलिखित नहीं कर सकता है
उदाहरण के लिए: http://somedomain.mywebsite.com/ के लिए काम करते समय यह http://mywebsite.com के लिए CORS हेडर नहीं भेजेगा।
SetEnvIf Origin "http(s)?://(.+\.)?mywebsite\.com(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
अपनी साइट के लिए सक्षम करने के लिए, आप बस ऊपर दिए गए अपाचे कॉन्फ़िगरेशन में "mywebsite.com" के स्थान पर अपनी साइट डालें।
एकाधिक साइटों को अनुमति देने के लिए:
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
परीक्षण के बाद तैनाती:
निम्नलिखित कर्ल प्रतिक्रिया में परिवर्तन के बाद "एक्सेस-कंट्रोल-अनुमति-उत्पत्ति" हेडर होना चाहिए।
curl -X GET -H "Origin: http://examplesite1.com" --verbose http://examplesite2.com/query
मुझे एक PHP- केवल समाधान की आवश्यकता थी, इसलिए अगर किसी को इसकी आवश्यकता होती है तो बस। यह "* .example.com" जैसे अनुमत इनपुट स्ट्रिंग लेता है और यदि इनपुट मेल खाता है, तो अनुरोध हेडर सर्वर नाम लौटाता है।
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
$allowed = preg_quote($allowed, '/');
if (($wildcardPos = strpos($allowed, '*')) !== false) {
$allowed = str_replace('*', '(.*)', $allowed);
}
$regexp = '/^' . $allowed . '$/';
if (!preg_match($regexp, $input, $matches)) {
return 'none';
}
return $input;
}और यहाँ एक phpunit डेटा प्रदाता के लिए परीक्षण मामले हैं:
// <description> <allowed> <input> <expected>
array('Allow Subdomain', 'www.example.com', 'www.example.com', 'www.example.com'),
array('Disallow wrong Subdomain', 'www.example.com', 'ws.example.com', 'none'),
array('Allow All', '*', 'ws.example.com', '*'),
array('Allow Subdomain Wildcard', '*.example.com', 'ws.example.com', 'ws.example.com'),
array('Disallow Wrong Subdomain no Wildcard', '*.example.com', 'example.com', 'none'),
array('Allow Double Subdomain for Wildcard', '*.example.com', 'a.b.example.com', 'a.b.example.com'),
array('Don\'t fall for incorrect position', '*.example.com', 'a.example.com.evil.com', 'none'),
array('Allow Subdomain in the middle', 'a.*.example.com', 'a.bc.example.com', 'a.bc.example.com'),
array('Disallow wrong Subdomain', 'a.*.example.com', 'b.bc.example.com', 'none'),
array('Correctly handle dots in allowed', 'example.com', 'exampleXcom', 'none'),preg_quote()क्योंकि ऐसा करने का सही तरीका है (भले ही .DNS नाम में एकमात्र regexp मेटा चार वैध है, preg_quote()इच्छित ऑपरेशन का बेहतर वर्णन करता है)
noneहेडर के लिए शब्दार्थ मान्य मूल्य नहीं है (या कम से कम, ऐसा नहीं करता है जो इसका मतलब है) कल्पना के अनुसार। जैसे, return null;उस शाखा के लिए और अधिक समझ हो सकती है, और उस स्थिति में ग्राहक को कोई हेडर नहीं भेजा जाना चाहिए, इसलिए इसे कॉलर द्वारा चेक किया जाना चाहिए।
preg_quote()* संकेत को उद्धृत करेगा और इसलिए str_replace()उदाहरण के लिए एक अनाथ "\" को छोड़ देता है।
जब Access-Control-Allow-Origin.htaccess में सेटिंग की जाती है, केवल निम्नलिखित कार्य किया जाता है:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
मैं कई अन्य अनुशंसित कीवर्ड की कोशिश की Header append, Header set, भी काम नहीं किया के रूप में इतने पर कई सवालों के जवाब में सुझाव दिया है, हालांकि मुझे पता नहीं है कि इन कीवर्ड को पुराने हो गए हैं या के लिए मान्य नहीं है, तो nginx ।
यहाँ मेरा पूरा समाधान है:
SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
Header merge Vary "Origin"
Header always set Access-Control-Allow-Methods "GET, POST"
Header always set Access-Control-Allow-Headers: *
# Cached for a day
Header always set Access-Control-Max-Age: 86400
RewriteEngine On
# Respond with 200OK for OPTIONS
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
जब हम "कुकी डोमेन" (www.domain.tld) से फ़ॉन्ट पढ़ रहे थे, तो एक स्थिर "कुकी-कम" डोमेन पर फ़ॉन्ट विस्मय के साथ समान मुद्दे थे और यह पोस्ट हमारा हीरो था। यहां देखें: मैं 'मिसिंग क्रॉस-ओरिजिनल रिसोर्स शेयरिंग (कॉर्स) रिस्पॉन्स हेडर' वेबफोंट मुद्दे को कैसे ठीक कर सकता हूं?
कॉपी / पेस्ट-आर प्रकारों के लिए (और कुछ प्रॉप्स देने के लिए) मैंने इसे सभी योगदानों से एक साथ जोड़ दिया और इसे साइट रूट की .htaccess फ़ाइल के शीर्ष पर जोड़ दिया:
<IfModule mod_headers.c>
<IfModule mod_rewrite.c>
SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge Vary "Origin"
</IfModule>
</IfModule>
सुपर सिक्योर, सुपर एलिगेंट। इसे प्यार करें: आपको अपने सर्वर बैंडविड्थ को संसाधन चोरों / हॉट-लिंक-एर प्रकारों के लिए खोलना नहीं है।
सहारा: @Noyo @DaveRandom @ प्रताप-कोरिताला
(मैंने इसे स्वीकृत उत्तर के लिए एक टिप्पणी के रूप में छोड़ने की कोशिश की, लेकिन मैं अभी तक ऐसा नहीं कर सकता)
के लिये स्प्रिंग बूट मैं इस पाया RegexCorsConfigurationजो आधिकारिक फैली CorsConfiguration: https://github.com/looorent/spring-security-jwt/blob/master/src/main/java/be/looorent/security/jwt/RegexCorsConfiguration.java
ऐसा लगता है कि मूल उत्तर पूर्व अपाचे 2.4 के लिए था। यह मेरे लिए सही नहीं रहा। यहां बताया गया है कि 2.4 में काम करने के लिए मुझे क्या बदलना होगा। यह आपके subcompain.com की किसी भी गहराई के लिए काम करेगा ।
SetEnvIf Host ^((?:.+\.)*yourcompany\.com?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin %{REQUEST_SCHEME}e://%{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
मुझे संशोधित करना था लार्स के उत्तर को थोड़ा , क्योंकि एक अनाथ को रेक्सएक्स में \समाप्त कर दिया गया था, केवल वास्तविक मेजबान (प्रोटोकॉल या पोर्ट पर ध्यान नहीं दे रहा) की तुलना करने के लिए और मैं localhostअपने उत्पादन डोमेन के अलावा डोमेन का समर्थन करना चाहता था । इस प्रकार मैंने $allowedएक सरणी होने के लिए पैरामीटर बदल दिया ।
function getCORSHeaderOrigin($allowed, $input)
{
if ($allowed == '*') {
return '*';
}
if (!is_array($allowed)) {
$allowed = array($allowed);
}
foreach ($allowed as &$value) {
$value = preg_quote($value, '/');
if (($wildcardPos = strpos($value, '\*')) !== false) {
$value = str_replace('\*', '(.*)', $value);
}
}
$regexp = '/^(' . implode('|', $allowed) . ')$/';
$inputHost = parse_url($input, PHP_URL_HOST);
if ($inputHost === null || !preg_match($regexp, $inputHost, $matches)) {
return 'none';
}
return $input;
}
उपयोग निम्नानुसार है:
if (isset($_SERVER['HTTP_ORIGIN'])) {
header("Access-Control-Allow-Origin: " . getCORSHeaderOrigin(array("*.myproduction.com", "localhost"), $_SERVER['HTTP_ORIGIN']));
}
मेरे मामले में कोणीय का उपयोग कर
मेरे HTTP इंटरसेप्टर में, मैंने सेट किया
with Credentials: true.
अनुरोध के शीर्ष लेख में