Access-Control-Allow-Origin Multiple Origin Domains？

Access-Control-Allow-Originヘッダーを使用して複数のクロスドメインを許可する方法はありますか？

は承知していますが、*オープンすぎます。私は本当にいくつかのドメインだけを許可したいです。

例として、次のようなもの：

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

上記のコードを試しましたが、Firefoxでは動作しないようです。

複数のドメインを指定することは可能ですか、それとも1つだけで行き詰まりますか？

推奨される方法のように聞こえるのは、サーバーにクライアントからOriginヘッダーを読み取らせ、それを許可するドメインのリストと比較し、一致する場合は、Originヘッダーの値をクライアントにエコーバックすることです。Access-Control-Allow-Origin応答のヘッダー。

では.htaccess、あなたはこのようにそれを行うことができます。

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

PHPで使用している別のソリューション：

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

これは私のために働きました：

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

入れれ.htaccessば確実に動作します。

woff-fontsにも同じ問題があり、複数のサブドメインにアクセスする必要がありました。サブドメインを許可するために、次のようなものをhttpd.confに追加しました。

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

複数のドメインの場合、で正規表現を変更するだけで済みSetEnvIfます。

ドメインがNginxと一致する場合にOriginヘッダーをエコーバックする方法は次のとおりです。これは、フォントに複数のサブドメインを提供する場合に役立ちます。

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

これは、AJAXからリクエストされているPHPアプリケーションに対して行ったことです

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

要求元がサーバーで許可されて$http_originいる場合Access-Control-Allow-Origin、*ワイルドカードを返す代わりに、ヘッダーの値としてそれ自体を返します。

注意が必要な欠点が1つあります。ファイルをCDN（またはスクリプトを許可しないその他のサーバー）にアウトソーシングするか、ファイルがプロキシにキャッシュされている場合は、「Origin」に基づいて応答を変更しますリクエストヘッダーは機能しません。

複数のドメインの場合.htaccess：

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Nginxユーザーが複数のドメインでCORSを許可する場合。@marshallの例が好きですが、彼の回答は1つのドメインにのみ一致します。ドメインとサブドメインのリストを一致させるには、この正規表現を使用すると、フォントの操作が簡単になります。

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

これは、指定されたドメインのリストと一致する「Access-Control-Allow-Origin」ヘッダーのみをエコーし​​ます。

URL書き換え2.0モジュールがインストールされたIIS 7.5以降の場合は、このSO回答を参照してください

yesthatguyからの回答に基づいた、Java Webアプリのソリューションを次に示します。

Jersey REST 1.xを使用しています

Jersey RESTとCORSResponseFilterを認識するようにweb.xmlを設定します

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

CORSResponseFilterのコードは次のとおりです

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

上記のように、Access-Control-Allow-Origin一意であるVary必要がありOrigin、CDN（コンテンツ配信ネットワーク）の背後にいる場合はに設定する必要があります。

私のNginx構成の関連部分：

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

多分私は間違っているかもしれませんが、私が見る限りでAccess-Control-Allow-Originは"origin-list"asパラメータがあります。

定義origin-listされます：

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

そしてこれから、異なる起源が認められ、スペースで区切られるべきだと私は主張します。

ExpressJSアプリケーションの場合、以下を使用できます。

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

私はこれをHTTPSを実行するドメインに設定するのに苦労したので、私は解決策を共有すると思いました。httpd.confファイルで次のディレクティブを使用しました。

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

example.comドメイン名に変更します。この内部を追加し<VirtualHost x.x.x.x:xx>、あなたの中のhttpd.confファイル。あなたがあればということに注意してくださいVirtualHostポートサフィックス（例えばを持っている:80）あなたはまたに行く必要がありますので、このディレクティブは、HTTPSには適用されませんの/ etc / apache2の/サイト利用可能/デフォルト-SSLとそのファイル、内部で同じディレクティブを追加<VirtualHost _default_:443>セクション。

設定ファイルが更新されたら、ターミナルで次のコマンドを実行する必要があります。

a2enmod headers
sudo service apache2 reload

フォントに問題がある場合は、以下を使用してください。

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

より柔軟なアプローチは、Apache 2.4の式を使用することです。ドメイン、パス、およびその他すべてのリクエスト変数と照合できます。送信される応答は常にですが、それを*受信する唯一の要求者はとにかく要件を満たすものです。式でOrigin（またはその他の）要求ヘッダーを使用すると、Apacheはそれを自動的にVary応答ヘッダーにマージするため、応答が別のオリジンで再利用されません。

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

PHPコード：

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

HTTP_ORIGINはすべてのブラウザで使用されるわけではありません。 HTTP_ORIGINはどの程度安全ですか？私にとってそれはFFで空っぽになっています。
私は自分のサイトへのアクセスを許可するサイトにサイトIDを介して送信します。次に、そのIDを持つレコードをDBで確認し、SITE_URL列の値（www.yoursite.com）を取得します。

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

有効なサイトIDを介して送信した場合でも、リクエストは、そのサイトIDに関連付けられた私のDBにリストされているドメインからである必要があります。

以下は、Apacheの拡張オプションで、最新および計画中のフォント定義の一部が含まれています。

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

ASMXサービスの複数ドメインアクセスを容易にするために、global.asaxファイルに次の関数を作成しました。

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

これにより、OPTIONS動詞のCORS処理も可能になります。

サブドメインを照合するためのPHPコードの例。

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

.NETアプリケーション用のかなり簡単なコピー/貼り付けのために、私はこれを書いて、CORSを global.asaxファイル。このコードは、現在受け入れられている回答で提供されているアドバイスに従い、リクエストで返されたオリジンが応答に反映されます。これにより、使用せずに「*」を効果的に実現できます。

これは、「withCredentials」属性を「true」に設定してAJAX XMLHttpRequestを送信する機能など、他の複数のCORS機能を有効にするためです。

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

そしてDjangoでもう1つ答えます。1つのビューで複数のドメインからのCORSを許可するには、次のコードを使用します。

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

AWS Lambda / APIゲートウェイ

サーバーレスAWS LambdaとAPI Gatewayで複数のオリジンを構成する方法については、非常にわかりやすいと思われるものに対してかなり大きなソリューションですが、ここを参照してください：

https://stackoverflow.com/a/41708323/1624933

現在、API Gatewayで複数のオリジンを構成することはできません。こちらを参照してください：https : //docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html）推奨事項（上記の答えは）：

• ブラウザから送信されたOriginヘッダーを検査する
• 出所のホワイトリストと照合する
• 一致する場合は、着信OriginをAccess-Control-Allow-Originヘッダーとして返します。それ以外の場合は、プレースホルダー（デフォルトのOrigin）を返します。

単純な解決策は、明らかにALL（*）を次のように有効にします。

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

しかし、API Gateway側でこれを行う方がよい場合があります（上記の2番目のリンクを参照）。

SSLを介した広告配信に関するGoogleのサポート回答とRFC自体の文法は、URLをスペースで区切ることができることを示しているようです。これがさまざまなブラウザでどれだけサポートされているかはわかりません。

CORSを使用して機能させるために、私のような多くのコード例を試してみる場合、実際に機能するかどうかを確認するには、最初にキャッシュをクリアする必要があることを言及する価値があります。サーバー上で削除されます（まだキャッシュに保存されているため）。

例えば CTRL + SHIFT + DEL、Google Chromeでキャッシュを削除します。

これは、多くの純粋な.htaccessソリューションを試した後、このコードを使用するのに役立ち、これが唯一の機能であるように見えました（少なくとも私にとって）：

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

また、多くの解決策Header set ...ではタイプする必要があると言われていることは広く普及していますが、そうですHeader add ...。これが私のような数時間同じ問題を抱えている人を助けることを願っています。

以下の回答はC＃に固有のものですが、この概念はすべての異なるプラットフォームに適用できるはずです。

Web APIからのクロスオリジンリクエストを許可するには、アプリケーションへのオプションリクエストを許可し、コントローラーレベルでアノテーションの下に追加する必要があります。

[EnableCors（UrlString、Header、Method）]原点は文字列としてのみ渡すことができるようになりました。SOリクエストで複数のURLを渡す場合は、カンマ区切り値として渡します。

UrlString = " https：//a.hello.com,https：//b.hello.com "

Access-Control-Allow-Originヘッダーに指定できる原点は1つだけです。ただし、リクエストに応じて、応答にオリジンを設定できます。また、Varyヘッダーを設定することを忘れないでください。PHPでは、次のようにします。

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

Asp.netアプリケーションのGlobal.asaxファイルでこれを設定することもできます。

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }