출입 통제 허용 원산지 도메인?

Access-Control-Allow-Origin헤더를 사용하여 여러 교차 도메인을 허용하는 방법이 있습니까?

에 대해 알고 *있지만 너무 열려 있습니다. 정말 몇 개의 도메인 만 허용하고 싶습니다.

예를 들면 다음과 같습니다.

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

위의 코드를 시도했지만 Firefox에서 작동하지 않는 것 같습니다.

여러 도메인을 지정할 수 있습니까? 아니면 하나만 고집 할 수 있습니까?

권장되는 방법은 서버가 클라이언트에서 Origin 헤더를 읽고 허용하려는 도메인 목록과 비교하고 일치하는 경우 Origin헤더 값을 클라이언트에 다시 에코하는 것입니다. Access-Control-Allow-Origin응답 의 헤더

.htaccess당신은 이렇게 할 수 있습니다 :

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

PHP에서 사용중인 다른 솔루션 :

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

이것은 나를 위해 일했다 :

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

에 넣으면 .htaccess확실히 작동합니다.

woff-fonts와 동일한 문제가 있었으며 여러 하위 도메인에 액세스해야했습니다. 하위 도메인을 허용하기 위해 httpd.conf에 다음과 같은 내용을 추가했습니다.

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

여러 도메인의 경우 정규 표현식을에서 변경할 수 있습니다 SetEnvIf.

도메인이 Nginx와 일치하는 경우 Origin 헤더를 다시 에코하는 방법은 다음과 같습니다. 여러 하위 도메인에 글꼴을 제공하려는 경우에 유용합니다.

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

다음은 AJAX에서 요청하는 PHP 응용 프로그램에서 수행 한 작업입니다.

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

요청한 오리진이 서버에서 허용되는 경우 와일드 카드 를 반환하는 대신 헤더 $http_origin값으로 자체 Access-Control-Allow-Origin를 반환합니다 *.

주의해야 할 한 가지 단점이 있습니다. 파일을 CDN (또는 스크립팅을 허용하지 않는 다른 서버)에 아웃소싱하거나 파일이 프록시에 캐시 된 경우 '원본'에 따라 응답이 변경됩니다 요청 헤더가 작동하지 않습니다.

여러 도메인의 경우 .htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Nginx 사용자는 여러 도메인에 대해 CORS를 허용합니다. 그의 대답은 하나의 도메인과 만 일치하지만 @marshall의 예를 좋아합니다. 도메인과 하위 도메인 목록을 일치시키기 위해이 정규식을 사용하면 글꼴을 쉽게 사용할 수 있습니다.

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

지정된 도메인 목록과 일치하는 "Access-Control-Allow-Origin"헤더 만 에코합니다.

URL Rewrite 2.0 모듈이 설치된 IIS 7.5 이상에 대해서는 이 SO 답변을 참조하십시오

다음은 yesthatguy의 답변을 기반으로 한 Java 웹 앱 솔루션입니다.

Jersey REST 1.x를 사용하고 있습니다

Jersey REST 및 CORSResponseFilter를 인식하도록 web.xml을 구성하십시오.

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

CORSResponseFilter의 코드는 다음과 같습니다.

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

위에서 언급했듯이 CDN (Content Delivery Network) 뒤에있는 경우 Access-Control-Allow-Origin고유 Vary해야합니다 Origin.

내 Nginx 구성의 관련 부분 :

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

어쩌면 내가 틀렸을 수도 있지만, 내가 알 수 Access-Control-Allow-Origin있는 한 "origin-list"as 매개 변수가 있습니다.

에 의해 정의 가 origin-list있습니다 :

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

그리고 이것으로부터, 나는 다른 원점이 인정되고 공간이 분리 되어야한다고 주장한다 .

ExpressJS 애플리케이션의 경우 다음을 사용할 수 있습니다.

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

HTTPS를 실행하는 도메인에 대해 설정하는 데 어려움을 겪었으므로 솔루션을 공유 할 것이라고 생각했습니다. httpd.conf 파일 에서 다음 지시문을 사용했습니다 .

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

example.com도메인 이름으로 변경하십시오 . 이것을 httpd.conf 파일 <VirtualHost x.x.x.x:xx>에 추가 하십시오. 당신이 경우 통지 포트 접미사 (예를 들어이있다 ) 당신은 또한에 갈 필요가 있도록 다음이 지시어는, HTTPS에 적용되지 않습니다 / 등은 / 아파치 / 사이트-가능 / 기본-SSL 및 해당 파일 내부에 같은 지시문을 추가 의 섹션을 참조하십시오.VirtualHost:80<VirtualHost _default_:443>

구성 파일이 업데이트되면 터미널에서 다음 명령을 실행해야합니다.

a2enmod headers
sudo service apache2 reload

글꼴에 문제가있는 경우 다음을 사용하십시오.

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

보다 유연한 접근 방식은 Apache 2.4의 표현식을 사용하는 것입니다. 도메인, 경로 및 기타 모든 요청 변수와 일치시킬 수 있습니다. 전송 된 응답은 항상 *이지만, 요청을받는 유일한 요청자는 어쨌든 요구 사항을 충족하는 요청자입니다. 사용 Origin(또는 다른) 표현의 요청 헤더가 자동으로 병합 아파치 인해 Vary해당 응답이 다른 기원 재사용되지 않도록, 응답 헤더.

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

일부 브라우저에서는 HTTP_ORIGIN을 사용하지 않습니다. HTTP_ORIGIN은 얼마나 안전합니까? 나를 위해 FF에서 비어 있습니다.
내 사이트에 대한 액세스를 허용하는 사이트가 사이트 ID를 통해 전송 된 후 DB에서 해당 ID의 레코드를 확인하고 SITE_URL 열 값 (www.yoursite.com)을 얻습니다.

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

유효한 사이트 ID를 통해 전송하더라도 요청은 해당 사이트 ID와 연결된 내 DB에 나열된 도메인에서 가져와야합니다.

다음은 최신 및 계획된 글꼴 정의가 포함 된 아파치에 대한 확장 된 옵션입니다.

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

ASMX 서비스에 대한 여러 도메인 액세스를 용이하게하기 위해 global.asax 파일에서이 함수를 작성했습니다.

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

이것은 OPTIONS동사의 CORS 처리 도 가능합니다.

하위 도메인 일치를위한 PHP 코드 예제.

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

.NET 응용 프로그램의 복사 / 붙여 넣기를 쉽게하기 위해 global.asax파일 내에서 CORS를 사용하도록 작성했습니다 . 이 코드는 현재 승인 된 답변에 제공된 조언을 따르며 요청에 응답이 제공된 모든 출처를 반영합니다. 이를 사용하지 않고 '*'를 효과적으로 달성합니다.

그 이유 는 'withCredentials'속성이 'true'로 설정된 AJAX XMLHttpRequest를 보내는 기능을 포함하여 여러 다른 CORS 기능을 사용할 수 있기 때문입니다 .

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

PHP 코드 :

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

그리고 장고에서 한 가지 더 대답합니다. 단일 뷰로 여러 도메인의 CORS를 허용하려면 다음 코드를 작성하십시오.

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

AWS Lambda / API 게이트웨이

서버리스 AWS Lambda 및 API 게이트웨이에서 여러 출처를 구성하는 방법에 대한 자세한 내용은 상당히 간단한 솔루션이지만 상당히 간단해야합니다. 여기를 참조하십시오.

https://stackoverflow.com/a/41708323/1624933

현재 API Gateway에서 여러 출처를 구성 할 수는 없습니다 ( https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html 참조 ). 위의 답변은 다음과 같습니다.

• 브라우저가 보낸 Origin 헤더를 검사하십시오
• 화이트리스트를 기준으로 확인
• 일치하면 들어오는 원점을 Access-Control-Allow-Origin 헤더로 반환하고 그렇지 않으면 자리 표시 자 (기본 원점)를 반환합니다.

간단한 솔루션은 분명히 다음과 같이 ALL (*)을 활성화합니다.

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

그러나 API 게이트웨이 측에서이를 수행하는 것이 좋습니다 (위의 두 번째 링크 참조).

SSL을 통한 광고 게재 와 RFC 자체 의 문법에 대한 Google의 답변 은 URL을 공백으로 구분할 수 있음을 나타내는 것 같습니다. 다른 브라우저에서 이것이 얼마나 잘 지원되는지 확실하지 않습니다.

CORS를 사용하여 작동하게하기 위해 나와 같은 많은 코드 예제를 시도하는 경우 실제로 작동하는지 먼저 캐시를 지우고 오래된 이미지가 여전히 존재하는 경우와 같은 문제와 비슷하다는 점을 언급해야합니다. 서버에서 삭제되었으므로 여전히 캐시에 저장되기 때문입니다.

예를 들어 CTRL + SHIFT + DELChrome에서 캐시를 삭제합니다.

이것은 많은 순수한 .htaccess솔루션 을 시도한 후에이 코드를 사용하는 데 도움이 되었으며 이것이 유일한 방법 인 것 같습니다 (적어도 나를 위해).

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

또한 널리 많은 솔루션은 사용자가 입력해야 할 말을하는 것이 확산되고 있습니다 Header set ...만이다 Header add .... 이것이 나와 같은 몇 시간 동안 같은 문제를 겪고있는 누군가를 돕기를 바랍니다.

아래 답변은 C #에만 해당되지만이 개념은 모든 다른 플랫폼에 적용 가능해야합니다.

웹 API에서 교차 출처 요청을 허용하려면 애플리케이션에 옵션 요청을 허용하고 컨트롤러 레벨에서 아래 주석을 추가해야합니다.

[EnableCors (UrlString, Header, Method)] 이제 원점은 문자열로만 전달 될 수 있습니다. 따라서 요청에서 둘 이상의 URL을 전달하려면 쉼표로 구분 된 값으로 전달하십시오.

UrlString = " https : //a.hello.com,https : //b.hello.com "

Access-Control-Allow-Origin 헤더에는 단일 원점 만 지정할 수 있습니다. 그러나 요청에 따라 응답의 출처를 설정할 수 있습니다. 또한 Vary 헤더를 설정하는 것을 잊지 마십시오. PHP에서는 다음을 수행합니다.

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

또한 Asp.net 응용 프로그램의 Global.asax 파일에서이를 설정할 수 있습니다.

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }