La scro Filtre - Permettre à tous les sous-domaines

Je voudrais que mon CorsFilter pour effectuer les opérations suivantes:

//populating the header required for CORS
response.addHeader(
           "Access-Control-Allow-Origin",
           "https://*.myDomain.com");

L'idée est de permettre les domaines suivants pour faire une demande:
sub1.myDomain.com,
sub2.myDomain.com,
sub3.myDomain.com
....
sub100.myDomain.com

Cela n'a pas fonctionné pour moi. Comment puis-je y parvenir? Iv'e essayé:

response.addHeader(
           "Access-Control-Allow-Origin",
           "*.myDomain.com");

ainsi, sans succès.

stackoverflow.com/questions/14003332/...
Pour le Printemps de Démarrage: stackoverflow.com/a/53611336/2590616

OriginalL'auteur Urbanleg | 2014-11-26

Je vais avoir la même question et la réponse est Oui.

Voici ma solution de Manutention ( Access-Control-Allow-Origin basé sur l'en-tête d'origine)

1. Analyser l'hôte de la "origine" de l'en-tête

    //origin
    String origin = request.getHeader("Origin");

    URL originUrl = null;
    try {
        originUrl = new URL(origin);
    } catch (MalformedURLException ex) {
    }

    //originUrl.getHost() -> Return the host need to be verified

2. Vérifier originUrl.getHost()

    //Allow myDomain.com
    //Or anySubDomain.myDomain.com
    //Or subSub.anySubDomain.myDomain.com

    //hostAllowedPattern 
    Pattern hostAllowedPattern = Pattern.compile("(.+\\.)*myDomain\\.com", Pattern.CASE_INSENSITIVE);

    //Allow host?
    if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
        response.addHeader("Access-Control-Allow-Origin", origin);

    } else {
        //Throw 403 status OR send default allow
        response.addHeader("Access-Control-Allow-Origin", "https://my_domain.com");
    }

3. Résultat:

    //If 'origin': https://sub1.myDomain.com  --> Matched
    Access-Control-Allow-Origin: https://sub1.myDomain.com

    //If 'origin': https://sub2.myDomain.com   --> Matched
    Access-Control-Allow-Origin: https://sub2.myDomain.com

    //If 'origin': https://notAllowDomain.com   --> Not Matched
    Access-Control-Allow-Origin: https://my_domain.com

4. Autres:

    You need to verify scheme & port too.

OriginalL'auteur Loc

8

Vous ne pouvez pas, il est plein de domaine, null ou tous: *.

Comme spec dit:
http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

Peut pas est un grand mot ^^

OriginalL'auteur Paulius Matulionis

Vous devez vous connecter pour publier un commentaire.