有没有办法允许多个跨域使用Access-Control-Allow-Origin标头?
我知道* ,但它太开放了。我真的想只允许一些域名。
举个例子,像这样:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example我已经尝试过上面的代码,但它似乎不适用于 Firefox。
是否可以指定多个域,或者我只坚持一个?
听起来像推荐的方法是让服务器从客户端读取 Origin 头,将其与您想要允许的域列表进行比较,如果匹配,则将Origin头的值回显给客户端作为响应中的Access-Control-Allow-Origin标头。
使用.htaccess您可以这样做:
# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
<IfModule mod_headers.c>
SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
Header merge Vary Origin
</IfModule>
</FilesMatch>我在 PHP 中使用的另一个解决方案:
$http_origin = $_SERVER['HTTP_ORIGIN'];
if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{
header("Access-Control-Allow-Origin: $http_origin");
}这对我有用:
SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is当放入.htaccess ,它肯定会起作用。