प्रवेश-नियंत्रण-अनुमति-उत्पत्ति कई मूल डोमेन?

क्या Access-Control-Allow-Originहेडर का उपयोग करके कई क्रॉस-डोमेन की अनुमति देने का एक तरीका है ?

मुझे इसकी जानकारी है *, लेकिन यह बहुत खुला है। मैं वास्तव में सिर्फ एक दो डोमेन की अनुमति देना चाहता हूं।

एक उदाहरण के रूप में, कुछ इस तरह:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

मैंने उपरोक्त कोड की कोशिश की है, लेकिन यह फ़ायरफ़ॉक्स में काम नहीं करता है।

क्या कई डोमेन निर्दिष्ट करना संभव है या क्या मैं सिर्फ एक के साथ फंस गया हूं?

ऐसा करने के लिए अनुशंसित तरीके की तरह लगता है कि आपके सर्वर को क्लाइंट से मूल हेडर पढ़ना है, इसकी तुलना उन डोमेन की सूची से करें जिन्हें आप अनुमति देना चाहते हैं, और यदि यह मेल खाता है, तो Originहेडर के मूल्य को क्लाइंट के रूप में वापस गूँजें Access-Control-Allow-Originजवाब में हैडर।

साथ .htaccessआप इसे इस प्रकार कर सकते हैं:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

एक और समाधान मैं PHP में उपयोग कर रहा हूँ:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

यह मेरे लिए काम किया:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

जब डाल दिया .htaccess, यह सुनिश्चित करने के लिए काम करेंगे।

मुझे woff- फोंट के साथ एक ही समस्या थी, कई उप-डोमेन का उपयोग करना था। उप-डोमेन की अनुमति देने के लिए मैंने अपने httpd.conf में कुछ इस तरह से जोड़ा:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

कई डोमेन के लिए आप सिर्फ रेगेक्स को बदल सकते हैं SetEnvIf।

यहां बताया गया है कि यदि ओरिजिनल हेडर वापस गूंजता है यदि यह आपके डोमेन को नग्नेक्स के साथ मेल खाता है, तो यह उपयोगी है यदि आप एक फ़ॉन्ट कई उप-डोमेन को सेवा देना चाहते हैं:

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

यहाँ मैं एक PHP अनुप्रयोग के लिए क्या किया है जो AJAX द्वारा अनुरोध किया जा रहा है

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

यदि मेरे सर्वर द्वारा अनुरोधित उत्पत्ति की अनुमति है, तो वाइल्डकार्ड वापस करने के बजाय हेडर के $http_originमान के रूप में स्वयं को वापस करें ।Access-Control-Allow-Origin*

एक नुकसान यह है कि आपको इसके बारे में पता होना चाहिए: जैसे ही आप सीडीएन (या कोई अन्य सर्वर जो स्क्रिप्टिंग की अनुमति नहीं देते हैं) या यदि आपकी फाइलें एक प्रॉक्सी पर कैश की जाती हैं, तो 'ओरिजिन' के आधार पर प्रतिक्रिया बदलकर। अनुरोध शीर्षलेख काम नहीं करेगा।

कई डोमेन के लिए, आपके .htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Nginx उपयोगकर्ताओं के लिए कई डोमेन के लिए CORS की अनुमति देने के लिए। मुझे @ मार्शेल का उदाहरण अच्छा लगता है, हालांकि उनके एवरर्स केवल एक डोमेन से मेल खाते हैं। डोमेन और उपडोमेन की सूची से मेल खाने के लिए इस रेगेक्स से फोंट के साथ काम करना आसान हो जाता है:

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

यह केवल "एक्सेस-कंट्रोल-अलाउंस-ओरिजनल" हेडर को इको करेगा जो डोमेन की दी गई सूची से मेल खाता है।

URL रिवाइइट 2.0 मॉड्यूल के साथ IIS 7.5+ के लिए कृपया यह SO उत्तर देखें

यहाँ yesthatguy से उत्तर के आधार पर, जावा वेब ऐप का एक समाधान है।

मैं जर्सी रेस्ट 1.x का उपयोग कर रहा हूं

जर्सी रेस्ट और कॉर्सस्प्रेसफिल्टर से अवगत होने के लिए web.xml को कॉन्फ़िगर करें

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

यहाँ CorSResponseFilter का कोड है

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

जैसा कि ऊपर उल्लेख किया गया है, Access-Control-Allow-Originअद्वितीय Varyहोना चाहिए और Originयदि आपको सीडीएन (कंटेंट डिलीवरी नेटवर्क) के पीछे सेट किया जाना चाहिए ।

मेरे Nginx कॉन्फ़िगरेशन का प्रासंगिक भाग:

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

शायद मैं गलत हूँ, लेकिन जहाँ तक मैं देख सकता हूँ Access-Control-Allow-Originएक "origin-list"पैरामीटर के रूप में है।

द्वारा परिभाषा एक origin-listहै:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

और इससे, मैं तर्क देता हूं कि विभिन्न मूल भर्ती हैं और अंतरिक्ष को अलग किया जाना चाहिए ।

ExpressJS अनुप्रयोगों के लिए आप उपयोग कर सकते हैं:

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

मैंने HTTPS चलाने वाले एक डोमेन के लिए इसे स्थापित करने के लिए संघर्ष किया, इसलिए मुझे लगा कि मैं समाधान साझा करूंगा। मैंने अपनी httpd.conf फ़ाइल में निम्न निर्देश का उपयोग किया :

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

example.comअपने डोमेन नाम में परिवर्तन करें। इसे <VirtualHost x.x.x.x:xx>अपने httpd.conf फ़ाइल में जोड़ें । ध्यान दें कि यदि आपका VirtualHostपोर्ट प्रत्यय (जैसे :80) है तो यह निर्देश HTTPS पर लागू नहीं होगा, इसलिए आपको / etc / apache2 / sites-available / default-ssl पर भी जाना होगा और उस फ़ाइल में उसी निर्देश को जोड़ना होगा, अंदर की <VirtualHost _default_:443>धारा।

एक बार कॉन्फिगर फाइल अपडेट हो जाने के बाद, आपको टर्मिनल में निम्नलिखित कमांड्स चलाने होंगे:

a2enmod headers
sudo service apache2 reload

यदि आप फोंट से परेशान हैं, तो उपयोग करें:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

एक अधिक लचीला दृष्टिकोण अपाचे 2.4 के भावों का उपयोग करना है। आप डोमेन, रास्तों और हर दूसरे अनुरोध चर के बारे में मेल कर सकते हैं। हालांकि भेजी गई प्रतिक्रिया हमेशा होती है *, केवल प्राप्त करने वाले अनुरोधकर्ता ही होते हैं जो आवश्यकताओं को पूरा करते हैं। Originअभिव्यक्ति में हेडर (या किसी अन्य) अनुरोध हेडर का उपयोग करने से अपाचे को स्वचालित रूप से Varyप्रतिक्रिया हेडर में विलय करने का कारण बनता है , ताकि प्रतिक्रिया एक अलग मूल के लिए पुन: उपयोग नहीं की जाएगी।

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

HTTP_ORIGIN का उपयोग सभी ब्राउज़रों द्वारा नहीं किया जाता है। HTTP_ORIGIN कितना सुरक्षित है? मेरे लिए यह एफएफ में खाली आता है।
मेरे पास वे साइटें हैं जिनकी मैं अपनी साइट पर पहुंच की अनुमति एक साइट आईडी पर देता हूं, फिर मैं उस आईडी के साथ रिकॉर्ड के लिए अपने DB की जांच करता हूं और SITE_URL कॉलम मान (www.yoursite.com) प्राप्त करता हूं।

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

यहां तक ​​कि अगर एक वैध साइट आईडी पर भेजने का अनुरोध उस साइट आईडी से जुड़े मेरे डीबी में सूचीबद्ध डोमेन से होना चाहिए।

यहां अपाचे के लिए एक विस्तारित विकल्प है जिसमें कुछ नवीनतम और नियोजित फ़ॉन्ट परिभाषाएं शामिल हैं:

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

ASMX सेवा के लिए कई डोमेन एक्सेस की सुविधा के लिए, मैंने Global.asax फ़ाइल में यह फ़ंक्शन बनाया है:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

इस OPTIONSक्रिया के लिए भी CORS से निपटने की अनुमति देता है ।

उप-कोड मिलान के लिए PHP कोड उदाहरण।

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

.NET अनुप्रयोगों के लिए एक काफी आसान कॉपी / पेस्ट के लिए, मैंने इसे एक global.asaxफ़ाइल के भीतर से कॉर्स को सक्षम करने के लिए लिखा था । यह कोड वर्तमान में स्वीकार किए गए उत्तर में दी गई सलाह का पालन करता है, जो प्रतिक्रिया में अनुरोध में दिए गए मूल को दर्शाता है। यह प्रभावी रूप से इसका उपयोग किए बिना '*' प्राप्त करता है।

इसका कारण यह है कि यह AJAX XMLHttpRequest को 'withCredentials' विशेषता के साथ 'true' पर भेजने की क्षमता सहित कई अन्य CORS सुविधाएँ सक्षम करता है ।

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

PHP कोड:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

और एक और जवाब Django में। एक ही दृश्य को कई डोमेन से CORS की अनुमति दें, यहां मेरा कोड है:

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

AWS लाम्बा / एपीआई गेटवे

सर्वरलेस AWS लैम्ब्डा और एपीआई गेटवे पर कई मूल को कॉन्फ़िगर करने के तरीके के बारे में जानकारी के लिए - कुछ के लिए एक बड़े समाधान के बावजूद, जो एक को लगता है कि काफी सीधा होना चाहिए - यहां देखें:

https://stackoverflow.com/a/41708323/1624933

एपीआई गेटवे में कई मूल को कॉन्फ़िगर करना वर्तमान में संभव नहीं है, यहां देखें: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html ), लेकिन सिफारिश ( उपरोक्त उत्तर) है:

• ब्राउज़र द्वारा भेजे गए ओरिजिन हेडर का निरीक्षण करें
• मूल के एक श्वेतसूची के खिलाफ इसकी जाँच करें
• यदि यह मेल खाता है, तो आने वाले ओरिजिनल को एक्सेस-कंट्रोल-अलाउंस-ओरिजिन हेडर के रूप में लौटाएं, अन्यथा एक प्लेसहोल्डर (डिफ़ॉल्ट ओरिजिन) लौटाएं।

सरल समाधान स्पष्ट रूप से सभी (*) को सक्षम कर रहा है:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

लेकिन एपीआई गेटवे साइड (ऊपर दूसरा लिंक देखें) पर ऐसा करना बेहतर हो सकता है।

SSL पर विज्ञापन देने और RFC में व्याकरण के बारे में Google के समर्थन के जवाब से ही ऐसा प्रतीत होता है कि आप URL का परिसीमन कर सकते हैं। यह निश्चित नहीं है कि विभिन्न ब्राउज़रों में यह कितना अच्छा है।

यदि आप कॉर्स का उपयोग करके इसे काम करने के लिए मेरे जैसे कई कोड उदाहरणों की कोशिश करते हैं, तो यह उल्लेख के लायक है कि आपको अपना कैश पहले साफ़ करने की कोशिश करनी है कि क्या यह वास्तव में काम करता है, पुराने मुद्दों जैसे कि अभी भी मौजूद है, भले ही यह मौजूद हो सर्वर पर हटा दिया गया (क्योंकि यह अभी भी आपके कैश में सहेजा गया है)।

CTRL + SHIFT + DELअपने कैश को हटाने के लिए Google Chrome में उदाहरण के लिए ।

इसने कई शुद्ध .htaccessसमाधानों की कोशिश करने के बाद इस कोड का उपयोग करने में मेरी मदद की और यह केवल एक ही काम कर रहा था (कम से कम मेरे लिए):

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

यह भी ध्यान दें कि यह व्यापक रूप से फैला हुआ है कि कई समाधान कहते हैं कि आपको टाइप करना है Header set ...लेकिन यह है Header add ...। आशा है कि यह मेरी तरह अब कुछ घंटों के लिए किसी को परेशान करने में मदद करता है।

नीचे उत्तर C # के लिए विशिष्ट है, लेकिन अवधारणा सभी विभिन्न प्लेटफार्मों पर लागू होनी चाहिए।

एक वेब एपीआई से क्रॉस ओरिजिनल रिक्वेस्ट को अनुमति देने के लिए, आपको अपने एप्लिकेशन में ऑप्शन रिक्वेस्ट को अनुमति देने की जरूरत है और कंट्रोलर स्तर पर एनोटेशन नीचे जोड़ें।

[EnableCors (UrlString, Header, Method)] अब मूल केवल स्ट्रिंग के रूप में पारित किया जा सकता है। यदि आप अनुरोध में एक से अधिक URL पास करना चाहते हैं तो इसे अल्पविराम से अलग मान के रूप में पास करें।

UrlString = " https: //a.hello.com,https: //b.hello.com "

Access-Control-Allow-Origin हेडर के लिए केवल एक ही मूल निर्दिष्ट किया जा सकता है। लेकिन आप अनुरोध के अनुसार अपनी प्रतिक्रिया में मूल सेट कर सकते हैं। इसके अलावा वैरी हेडर सेट करना न भूलें। PHP में मैं निम्नलिखित कार्य करूँगा:

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

हम इसे Asp.net एप्लिकेशन के लिए Global.asax फ़ाइल में भी सेट कर सकते हैं।

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }