<div>Access-Control-Allow-Origin Domaines d'origine multiples?</div>

Question

Y a-t-il un moyen de permettre plusieurs domaines croisés en utilisant l'en-tête Access-Control-Allow-Origin ?

Je connais le *, mais c'est trop ouvert. Je veux vraiment autoriser seulement quelques domaines.

Par exemple, quelque chose comme ceci :

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

J'ai essayé le code ci-dessus mais cela ne semble pas fonctionner dans Firefox.

Est-il possible de spécifier plusieurs domaines ou suis-je coincé avec un seul ?

Answer 1

Il semble que la façon recommandée de le faire est de permettre à votre serveur de lire l'en-tête Origin du client, de le comparer à la liste des domaines que vous souhaitez autoriser, et si cela correspond, d'échoir la valeur de l'en-tête Origin de retour au client en tant qu'en-tête Access-Control-Allow-Origin dans la réponse.

Avec .htaccess, vous pouvez le faire comme ceci :

# ----------------------------------------------------------------------
# Autoriser le chargement de polices externes
# ----------------------------------------------------------------------

        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin

Answer 2

Une autre solution que j'utilise en PHP:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

Answer 3

Cela a fonctionné pour moi:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Lorsque placé dans .htaccess, cela fonctionnera certainement.

Answer 4

J'ai eu le même problème avec les polices woff, plusieurs sous-domaines devaient avoir accès. Pour autoriser les sous-domaines, j'ai ajouté quelque chose comme ceci à mon fichier httpd.conf :

SetEnvIf Origin "^(.*\.exemple\.com)$" ORIGIN_SUB_DOMAIN=$1

    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN

Pour plusieurs domaines, vous pourriez simplement changer l'expression régulière dans SetEnvIf.

Answer 5

La réponse semble être d'utiliser l'en-tête plusieurs fois. C'est-à-dire, au lieu d'envoyer

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example, http://domain3.example

envoyez

Access-Control-Allow-Origin: http://domain1.example
Access-Control-Allow-Origin: http://domain2.example
Access-Control-Allow-Origin: http://domain3.example

Sur Apache, vous pouvez le faire dans une section du fichier httpd.conf ou dans le fichier .htaccess en utilisant mod_headers et cette syntaxe :

Header add Access-Control-Allow-Origin "http://domain1.example"
Header add Access-Control-Allow-Origin "http://domain2.example"
Header add Access-Control-Allow-Origin "http://domain3.example"

Le truc est d'utiliser add plutôt que append comme premier argument.