gérer de multiples domaines avec Access-Control-Allow-Origin-tête dans Apache

Je veux configurer apache pour l'accès inter-domaine d'en-tête. J'ai essayé plusieurs combinaison, comme l'a suggéré sur le nombre de threads sur le forum. Mais sa ne fonctionne pas pour moi.

Les moyens, j'ai essayé:

1) Spécifier le domaine sur les différentes lignes comme ci-dessous avec Header set :

Header set Access-Control-Allow-Origin "example1.com"
Header set Access-Control-Allow-Origin "example2.com"
Header set Access-Control-Allow-Origin: "example3.com"

Avec cette configuration, sa cueillette ne durent qu'un et ignorer le reste de tous.

2) Spécifier le domaine sur les différentes lignes comme ci-dessous avec Header add :

Header add Access-Control-Allow-Origin "example1.com"
Header add Access-Control-Allow-Origin "example2.com"
Header add Access-Control-Allow-Origin: "example3.com"

Avec ce son, montrant tous les trois domaines dans la tête, mais les polices ne sont pas obtenir ramassé sur Firefox.

3.) Essayé d'Utiliser SetEnvIf, mais encore une fois sa ne fonctionne pas :

SetEnvIf Origin "http(s)?://(www\.)?(mydomain.com|mydomain2.com)$" AccessControlAllowOrigin=$0$1
Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin

Enfin travailler avec des "*", mais je ne veux pas utiliser ce.

S'il vous plaît aider avec cela.

Avez-vous lu celui-ci : stackoverflow.com/a/4730826/550618 pour les problèmes de 304 code de réponse?
Si j'utilise "en-Tête set", puis son travail sur FF. Mais dans ce cas, Son seul la dernière de domaine 🙁 et je veux configurer de multiples domaines.
le problème n'est pas set ou add, c'est pour ajouter de la always mot-clé
Toujours le même problème. Si j'utilise "toujours" mot-clé défini comme ci-dessous : en-Tête de toujours définir Access-Control-Allow-Origin "example1.com" en-Tête de toujours définir Access-Control-Allow-Origin "example2.com" en-Tête de toujours définir Access-Control-Allow-Origin: "example3.com" Puis, son seul la dernière de domaine et les polices de travail sur les FF. D'autre part, si j'utilise toujours un mot-clé à ajouter en tant que ci-dessous : en-Tête de toujours ajouter Access-Control-Allow-Origin "example1.com" en-Tête de toujours ajouter Access-Control-Allow-Origin "example2.com" en-Tête de toujours ajouter Access-Control-Allow-Origin: "example3.com" Ensuite, les polices ne fonctionne pas sur FF.
salut les experts - Pouvez-vous svp me guider sur ce point?
Stack Overflow est un site pour la programmation et les questions de développement. Cette question semble être hors-sujet, car il n'est pas sur la programmation ou le développement. Voir Quels sont les sujets que pouvez-vous nous parler ici dans le Centre d'Aide. Peut-être Web Applications de la Pile d'Échange, Webmaster Stack Exchange ou Unix & Linux Stack Exchange serait un meilleur endroit pour demander cela.

InformationsquelleAutor Kuldeep | 2013-12-19

38

Pour les 3 domaines, dans votre .htaccess:
```
<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.org|domain2.com|domain3.net)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>
```
J'ai essayé et ça fonctionne pour moi. Laissez-moi savoir si ce n'est pas pour vous.
- C'est la seule façon, de manière dynamique à servir une seule valeur par la vérification de l'hôte avant de servir. Le "toujours ajouter" ou "ajouter" ne fonctionne pas pour moi.
- Merci pour affirmer 🙂
- Fonctionne très bien pour moi. Je me demandais à propos de "$0$1", comme beaucoup d'autres exemple qui vient d'utiliser "$0". On dirait que c'est la robustesse à la réutilisation des mêmes .htaccess pour serveurs web différents (de 0$de travaux pour Apache).
- Étant donné que la Réponse peut varier selon la "Origine" sur le terrain, peut-être le Vary: Origin l'en-tête doit être réglé (voir stackoverflow.com/questions/25329405/...)
- Il n'a travaillé que pour moi lors de la sortie du "$1" loin. Pour une raison quelconque "$1" a été réglé sur "s" et, par conséquent, il ne correspond à ("domain1.org" ne correspond pas "domaine1.orgs").
- Ce qui est faux. Il doit être $0, pas $0$1. $0$1 ajoute le correspondant de groupe 1 à l'URL. C'est la mise en correspondance du groupe 1: http(s)? Donc il va ajouter s pour https origines et undefined pour http origines.
- D'accord, à l'aide de $0 est préféré. Mais la réponse est freaking-génial! Merci, George!
- À la réflexion, il peut être utile de déposer les parties indésirables de la demande d'Origine. On pourrait utiliser (http(s)?://(myapp(api)?\-(dev|demo)\.azurewebsites\.net|localhost|localhost:4444)).*$, qui accepte plusieurs hôtes/url mais au lieu que le protocole et serveur dans $1.
InformationsquelleAutor George
17

Si je ne suis malentendu le manuel, il convient de:
```
Header always append Access-Control-Allow-Origin: "example1.com"
Header always append Access-Control-Allow-Origin: "example2.com"
Header always append Access-Control-Allow-Origin: "example3.com"
```
Le manuel indique que le set et add actions se comportent de la manière suivante:

ensemble: "L'en-tête de réponse est fixé à la place du précédent-tête avec ce nom"

ajouter: "...Cela peut aboutir à deux (ou plus) des en-têtes du même nom. Cela peut conduire à des conséquences imprévues..."
- le manuel dit aussi append... This is the HTTP standard way of giving a header multiple values.
- Mon dieu, je vous remercie. M'a pris beaucoup de tâtonner pour trouver ce.
- Vous ne pouvez pas avoir plusieurs en-têtes developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/...
InformationsquelleAutor Jon
4

Restreindre l'accès à certaines Uri checkout ces docs:

CrossOriginRequestSecurity

Côté Serveur De Contrôle D'Accès#Apache_examples

Une astuce utile est d'utiliser une réécriture Apache, variable d'environnement, et les en-têtes d'appliquer Access-Control-Allow-* pour certaines Uri. Ceci est utile, par exemple, pour limiter la croix-origine des demandes pour OBTENIR /api(.*).json demandes, sans informations d'identification:
```
RewriteRule ^/api(.*)\.json$ /api$1.json [CORS=True]
Header set Access-Control-Allow-Origin "*" env=CORS
Header set Access-Control-Allow-Methods "GET" env=CORS
Header set Access-Control-Allow-Credentials "false" env=CORS
```
Aussi, en général, selon W3 Wiki - SCRO Activé#For_Apache
Pour exposer l'en-tête, vous pouvez ajouter la ligne suivante à l'intérieur de Répertoire, de l'Emplacement, et les Fichiers de sections, ou à l'intérieur d'un .fichier htaccess.
```
<IfModule mod_headers.c>
  Header set Access-Control-Allow-Origin "*"
</IfModule>
```
ET, vous pouvez utiliser l'option ajouter plutôt que de les définir, mais sachez que pouvez ajouter l'en-tête plusieurs fois, de sorte qu'il est généralement plus sûr d'utiliser.

InformationsquelleAutor Brad Sturtevant

Essayer celui-ci, ça fonctionne pour moi.
Postulez .htaccess:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.org|domain2\.com)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

InformationsquelleAutor MD IRFAN

Sera à 100%, s'Appliquent .htaccess:

# Enable cross domain access control
SetEnvIf Origin "^http(s)?://(.+\.)?(domain1\.com|domain2\.org|domain3\.net)$" REQUEST_ORIGIN=$0
Header always set Access-Control-Allow-Origin %{REQUEST_ORIGIN}e env=REQUEST_ORIGIN
Header always set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
Header always set Access-Control-Allow-Headers "x-test-header, Origin, X-Requested-With, Content-Type, Accept"

# Force to request 200 for options
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule .* /[R=200,L]

À la fois le présent et l'acceptation de votre réponse ajoute un * à la fin qui n'est pas correct. I. E Si je fais une demande à partir de localhost:3000 l'en-tête de réponse contient: Access-Control-Allow-Origin: http://localhost:3000, *

InformationsquelleAutor levin

Pour Apache 2.4, j'ai utilisé la commande SET pour le serveur web Apache pour définir l'en-Tête de façon dynamique.

<IfModule mod_deflate.c>
  # CORS
  SetEnvIfNoCase Origin "http(s)?://(\w+\.)?(example.com|localhost)(:[0-9]+)?$" AccessControlAllowOrigin=$0
  Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
  Header set Access-Control-Allow-Credentials true
</IfModule>

AJOUTER une commande ne fonctionne pas pour moi.

InformationsquelleAutor Manjun Gim

-2

Cela fonctionne pour moi en ASP Classique:

If Request.ServerVariables("HTTP_ORIGIN") = "http://domain1.com" Then
  Response.AddHeader "Access-Control-Allow-Origin","http://domain1.com"
ElseIf Request.ServerVariables("HTTP_ORIGIN") = "http://domain2.com" Then
  Response.AddHeader "Access-Control-Allow-Origin","http://domain2.com"
'and so on
End If

La question est à propos de Apache.

InformationsquelleAutor Chazmondo

Vous devez vous connecter pour publier un commentaire.