comment contourner Access-Control-Allow-Origin?

Je fais un appel ajax pour mon propre serveur sur une plate-forme qu'ils se sont fixés éviter ces appels ajax (mais j'ai besoin de récupérer des données à partir de mon serveur pour afficher les données récupérées à partir de mon serveur de base de données).
Mon script ajax est au travail , il peut envoyer les données sur mon serveur de script php pour l'autoriser à traiter.
Toutefois, il ne peut pas obtenir les données traitées à l'arrière comme il est bloqué par "Access-Control-Allow-Origin"

Je n'ai pas accès à cette plate-forme de la source/core. donc je ne peux pas supprimer le script qu'il me refusant à le faire.
(P/S j'ai utilisé Google Chrome Console et a trouvé cette erreur)

Le code Ajax comme indiqué ci-dessous:

 $.ajax({
     type: "GET",
     url: "http://example.com/retrieve.php",
     data: "id=" + id + "&url=" + url,
     dataType: 'json',   
     cache: false,
     success: function(data)
      {
        var friend = data[1];              
        var blog = data[2];           
        $('#user').html("<b>Friends: </b>"+friend+"<b><br> Blogs: </b>"+blog);

      } 
  });

ou est-il un JSON code équivalent à l'ajax script ci-dessus ? Je pense que JSON est autorisé.

J'espère que quelqu'un pourrait m'aider.

toutes les réponses à vos questions jusqu'à présent, a expliqué un moyen de réécrire votre serveur de code ajax travail. Aucun d'eux n'est à propos de contournement, comme vous l'avez demandé spécifiquement à votre question. Avez-vous trouvé de toute façon de contourner cet en-tête? Je doute vraiment qu'il y aurait un.

InformationsquelleAutor ETAN | 2011-09-27

355

Le mettre sur le dessus de retrieve.php:
```
header('Access-Control-Allow-Origin: *');  
```
Noter que cela permet de désactiver la protection de la SCRO, et les feuilles de vos utilisateurs exposés à l'attaque. Si vous n'êtes pas absolument certain que vous avez besoin pour permettre à tous origines, vous devez le verrouiller cette baisse à un plus spécifiques origine:
```
header('Access-Control-Allow-Origin: https://www.example.com')
```
- C'est plutôt dangereux. Découvrez ma réponse en bas.
- tnx, mais vous ne devriez pas permettre l'accès à toutes les origines, comme mentionné par @RobQuist dans son commentaire, et dans sa réponse une meilleure approche
- J'ai donc trouvé cette page parce que j'avais besoin de réellement "contournement" de Contrôle d'Accès sur un serveur. La solution n'est pas en contournant quelque chose, mais simplement en configurant correctement le Contrôle d'Accès sur son propre serveur. Si jamais quelqu'un a vraiment besoin de contourner cela, ils peuvent utiliser PHP file_get_contents($remote_url);. Il y a évidemment plusieurs façons de faire cela, mais c'est la façon dont je l'ai fait.
- c'est essentiellement la loi de "proxy". Une bonne solution si vous voulez vraiment charger dynamiquement des données à partir d'un autre site web que vous n'avez aucun contrôle.
- qu'est-ce exactement ne fonctionne pas @jairhumberto les erreurs sur le navigateur de la console? ou sur le serveur? comment est-ce que votre code ressemble?
- nan, rien. seulement rien ne se passe comme si le code n'était pas encore là. J'essaye de faire une requête ajax vers un autre fichier de domaine qui a que la première ligne de l'en-tête programmés via l'en-tête de la fonction
- voulait exécuter un script PHP à partir de dotnet core déplacé script php pour mon autre URL, mais a été prise en cross-site scripting. ajouté le code qui vous a montré à haut de PHP et fonctionne parfaitement. Merci!
- C'est une mauvaise pratique, et vous laisse grande ouverte pour le cross site scripting. Vous ne voulez votre propre nom de domaine autorisés par défaut. La réponse que vous voulez vraiment est ce: header('Access-Control-Allow-Origin: ' . 'http' . ( ( array_key_exists( 'HTTPS', $_SERVER ) && $_SERVER['HTTPS'] && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) ? 's' : null ) . '://' . $_SERVER['HTTP_HOST'] );
- Ce qu'il fait, est de permettre à votre propre nom de domaine, et les honneurs de l'actuel paramètres SSL sur votre serveur. Si vous souhaitez ajouter d'accès pour d'autres domaines, il suffit d'ajouter un autre Access-Control-Allow-Origin en-tête supplémentaire pour chaque domaine.
InformationsquelleAutor Rafay
283

D'accord, mais vous savez tous que le * est un caractère générique qui permet de cross site scripting de chaque domaine?

Vous souhaitez envoyer plusieurs Access-Control-Allow-Origin en-têtes pour chaque site qui est permis, mais, malheureusement, ses pas officiellement pris en charge à envoyer plusieurs Access-Control-Allow-Origin en-têtes, ou de les mettre dans de multiples origines.

Vous pouvez résoudre ce problème en vérifiant l'origine, et de l'envoi de retour que l'un dans l'en-tête, si elle est autorisée:
```
$origin = $_SERVER['HTTP_ORIGIN'];
$allowed_domains = [
    'http://mysite1.com',
    'https://www.mysite2.com',
    'http://www.mysite2.com',
];

if (in_array($origin, $allowed_domains)) {
    header('Access-Control-Allow-Origin: ' . $origin);
}
```
C'est beaucoup plus sûr. Vous pouvez modifier la mise en correspondance et de le modifier pour une fonction manuelle avec quelques regex, ou quelque chose comme ça. Au moins cela ne fera que renvoyer 1 en-tête, et vous serez sûr de sa celui qui la demande est faite par. Veuillez noter que tous les en-têtes HTTP peut être usurpée, mais cet en-tête est pour le client de protection. Ne pas protéger vos propres données avec ces valeurs. Si vous voulez en savoir plus, lisez un peu sur la SCRO et CSRF.

Pourquoi est-il plus sûr?

Permettant l'accès à partir d'autres endroits, alors votre propre site de confiance permet pour la session de détournements. Je vais aller un petit exemple d'image de Facebook permet à un générique d'origine, ce qui signifie que vous pouvez faire votre propre site web quelque part, et de faire feu appels AJAX (ou ouvrir les iframes) à facebook. Cela signifie que vous pouvez saisir le connecté info sur le facebook d'un visiteur de votre site web. Pire, vous pouvez créer un script POST demandes et publier des données sur quelqu'un facebook - tout alors qu'ils sont à la navigation de votre site web.

Être très prudent lors de l'utilisation de la ACAO les en-têtes de!
- Je pense que vous devez mettre http:// devant chaque élément dans la liste. Au moins je l'ai fait sur un site, j'ai été travailler sur.
- Malheureusement, cela ne semble pas fonctionner. Je crois qu'une seule exception peut être fournie par appel à header().
- lewsid -> je suppose séparation par virgule ne fonctionne pas en effet. Référence: w3.org/TR/cors
- Pour faire face à une liste de domaines, d'ici une réponse pertinente: stackoverflow.com/a/1850482/766177
- Si j'ai besoin d'un domaine partiel, son ok utilisez Access-Control-Allow-Origin: http:*.mysite1.com ?
- oui, il est. Cette jokers tous les sous-domaines sur mysite1.com.
- Ce sera désormais le travail. Dire d'où provient la demande mysite1.com. Vous obtiendrez une erreur que l'en-tête contient des mysite2.com.
- eh bien, si je veux utiliser l'API à partir d'une application mobile que puis-je entrer à la place de l'url?
- Vous aurez à vérifier la provenance de la demande.. Si vous voulez vraiment utiliser une API à partir d'un appareil mobile, vous devriez permettre à presque toutes les origines, mais faire beaucoup de session de vérifier vous-même (découvrez oAuth2, il y a beaucoup d'info sur que pour le développement d'applications mobiles et côté serveur)
- Que faire si je veux avoir un service d'applications pour mobile, quel serait-il le domaine pour une application?
- Rob, Comment faire, Si je suis directement accès à un fichier média à partir de mon site dire, example.com/mp3/sample.mp3 que dans le fichier source??
- Si vous ajoutez plus de 1 en-tête, toute demande sera résultat en étant non valide. Source w3c - seulement 1 en-tête avec 1 origine est valide.
- C'est inutile l'ajout de 4 en-têtes comme ça, parce que chaque appel à header() remplace le précédent en-tête du même type. Alors, vraiment tout ce que vous faites est la dernière d'en-tête. Le saisie manuelle les états que vous pouvez définir un deuxième paramètre de false pour empêcher l'en-tête précédent d'être écrasées.
- C'est une fausse réponse , dans ce cas, seul le dernier en-tête devrait fonctionner.
- Vous avez droit BadHorsie & Vahe Galstyan. J'ai des mises à jour de la réponse à la rendre plus claire à ce sujet.
- Que faire si vous êtes à la mise en œuvre d'une API qui devrait être disponible pour tout le monde, comment gérez-vous cela?
- Ensuite, vous pouvez ajouter des caractères génériques.
- Je sais, la question a été rethorical 😉
- Difficile de voir le sarcasme dans un tas de lettres 😉 Cheers!
- Google chrome ne permet pas de multiples domaines. Vous recevrez un message d'erreur dans la console en disant: "Le" Access-Control-Allow-Origin' en-tête contient plusieurs valeurs 'xxx, xxx, xxx', mais un seul est autorisé. Origine 'xxx' est donc pas autorisé à accéder."
- En écho @Jésus commentaire ci-dessus. Cela ne fonctionne pas comme une solution pour plusieurs domaines.
- Vous pouvez utiliser le $_SERVER['HTTP_REFERER'] de match, puis retourne l'en-tête. L'envoi de plusieurs en-têtes risquent de ne pas fonctionner maintenant.
- Ce devrait être le accepteren répondre
InformationsquelleAutor Rob
30

Avertissement, Chrome (et les autres navigateurs) va se plaindre que de multiples ACAO les en-têtes sont ensemble si vous suivez quelques-uns des autres réponses.

L'erreur sera quelque chose comme XMLHttpRequest cannot load ____. The 'Access-Control-Allow-Origin' header contains multiple values '____, ____, ____', but only one is allowed. Origin '____' is therefore not allowed access.

Essayez ceci:
```
$http_origin = $_SERVER['HTTP_ORIGIN'];

$allowed_domains = array(
  'http://domain1.com',
  'http://domain2.com',
);

if (in_array($http_origin, $allowed_domains))
{  
    header("Access-Control-Allow-Origin: $http_origin");
}
```
- C'est une solution encore meilleure que celle que j'ai posté.
InformationsquelleAutor
7

J'ai résolu ce problème lors de l'appel d'un MVC3 Contrôleur.
J'ai ajouté:
```
Response.AddHeader("Access-Control-Allow-Origin", "*"); 
```
avant mon
```
return Json(model, JsonRequestBehavior.AllowGet);
```
Et aussi mon $.ajax se plaignait qu'il n'accepte pas Content-type en-tête de mon appel ajax, donc je lui ai dit que je sais que son JSON être passé à l'Action.

Espère que ça aide.

InformationsquelleAutor Atif Rehman
5

le mieux serait de permettre à des domaines uniques, soyez prudent sur le site http://:
```
     header('Access-Control-Allow-Origin: http://www.foo.com', false);
     header('Access-Control-Allow-Origin: http://www.foo2.com', false));
```
- Assurez-vous d'ajouter le deuxième argument de header() et mis à false, sinon le second en-tête remplacera le premier: header('Access-Control-Allow-Origin: http://www.foo.com', false);
- bon point, mise à jour de ma réponse
- Si vous ajoutez plus de 1 en-tête, toute demande sera résultat en étant non valide. Source w3c - seulement 1 en-tête avec 1 origine est valide.
- LA RÉPONSE EST FAUSSE: j'ai essayé avec les 2 domaines, en-tête, un requérant (réel) de domaine, d'autres en est un autre domaine de test et @DanFromGermany est à droite, voici la réponse en chrome console: XMLHttpRequest ne peut pas charger DataOnOutsidedomain.com/xhr.php. Le "Access-Control-Allow-Origin' en-tête contient plusieurs valeurs 'RequestingDomain.com, SomeOtherDomain.com, mais un seul est autorisé. Origine 'RequestingDomain.com' est donc pas autorisé à accéder.
InformationsquelleAutor Sebastian Viereck
2

Avez-vous essayé d'ajouter l'Access-Control-Allow-Origin-tête de la réponse envoyée à partir de votre serveur? Comme, Access-Control-Allow-Origin: *?
- pouvez-vous me donner un exemple? merci
- C'est un en-tête HTTP de votre serveur envoie à informer le navigateur qu'il est correct d'indiquer le résultat de l'appel de script, malgré le fait que le scénario de l'origine de domaine ne correspond pas au domaine du serveur. Lire sur Cross-Origin Resource sharing!
InformationsquelleAutor Daniel Brockman

C'est une très mauvaise idée d'utiliser *, ce qui vous laisse largement ouvert cross site scripting. En gros, vous voulez que votre propre nom de domaine, tout le temps, l'étendue actuelle de votre les paramètres SSL, et éventuellement d'autres domaines. Vous aussi, vous voulez tous être envoyé comme un en-tête. La suite sera toujours autoriser votre propre nom de domaine dans le même SSL portée de la page en cours, et peut éventuellement aussi inclure n'importe quel nombre de domaines supplémentaires. Il va les envoyer tous un en-tête, et écraser le précédent(s) si quelque chose d'autre est déjà envoyés afin d'éviter toute chance de le navigateur se plaindre de plusieurs de contrôle d'accès des en-têtes envoyés.

class CorsAccessControl
{
    private $allowed = array();

    /**
     * Always adds your own domain with the current ssl settings.
     */
    public function __construct()
    {
        //Add your own domain, with respect to the current SSL settings.
        $this->allowed[] = 'http'
            . ( ( array_key_exists( 'HTTPS', $_SERVER )
                && $_SERVER['HTTPS'] 
                && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) 
                    ? 's' 
                    : null )
            . '://' . $_SERVER['HTTP_HOST'];
    }

    /**
     * Optionally add additional domains. Each is only added one time.
     */
    public function add($domain)
    {
        if ( !in_array( $domain, $this->allowed )
        {
            $this->allowed[] = $domain;
        }
    /**
     * Send 'em all as one header so no browsers grumble about it.
     */
    public function send()
    {
        $domains = implode( ', ', $this->allowed );
        header( 'Access-Control-Allow-Origin: ' . $domains, true ); //We want to send them all as one shot, so replace should be true here.
    }
}

Utilisation:

$cors = new CorsAccessControl();

//If you are only authorizing your own domain:
$cors->send();

//If you are authorizing multiple domains:
foreach ($domains as $domain)
{
    $cors->add($domain);
}
$cors->send();

Vous obtenez l'idée.

InformationsquelleAutor mopsyd

Vous devez vous connecter pour publier un commentaire.