Access-Control-Allow-Originワイルドカードサブドメイン、ポート、およびプロトコル

336
Elie 2012-12-23 03:44.

すべてのサブドメイン、ポート、プロトコルでCORSを有効にしようとしています。

たとえば、からXHRリクエストを実行できるようにしたい http://sub.mywebsite.com:8080/ に https://www.mywebsite.com/*

通常、オリジンからのリクエストを有効にしたいのですが、以下に一致します(限定されます)。

//*.mywebsite.com:*/*

10 answers

218
Noyo 2015-01-17 08:09.

DaveRandomの回答に基づいて、私も遊んでいAccess-Control-Allow-Originて、書き換えルールを使用せずに同じ結果を生成する(現在の特定のプロトコル+ドメイン+ポートに動的に設定される)少し単純なApacheソリューションを見つけました。

SetEnvIf Origin ^(https?://.+\.mywebsite\.com(?::\d{1,5})?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin  %{CORS_ALLOW_ORIGIN}e   env=CORS_ALLOW_ORIGIN
Header merge  Vary "Origin"

以上です。

すべてのサブドメインに加えて、親ドメイン(mywebsite.comなど)でCORSを有効にしたい場合は、最初の行の正規表現を次の正規表現に置き換えるだけです。

^(https?://(?:.+\.)?mywebsite\.com(?::\d{1,5})?)$

注:仕様への準拠と正しいキャッシュ動作のVary: Originために、CORS以外のリクエストや許可されていないオリジンからのリクエストであっても、常にCORS対応リソースの応答ヘッダーを追加します(理由の例を参照)。

267
monsur 2012-12-23 10:14.

CORS仕様はオールオアナッシングです。*nullまたは正確なプロトコル+ドメイン+ポートのみをサポートします。http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

サーバーは正規表現を使用してオリジンヘッダーを検証する必要があります。その後、Access-Control-Allow-Origin応答ヘッダーでオリジン値をエコーできます。

60
DaveRandom 2013-09-24 02:09.

編集:これの代わりに@Noyoのソリューションを使用してください。これは、負荷がかかった状態で、よりシンプルで明確になり、パフォーマンスが大幅に向上する可能性があります。

歴史的な目的のためだけにここに残された元の答え!!


私はこの問題をいじってみて、Apacheで動作するこの再利用可能な.htaccess(またはhttpd.conf)ソリューションを思いつきました。

<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
    # Define the root domain that is allowed
    SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.com

    # Check that the Origin: matches the defined root domain and capture it in
    # an environment var if it does
    RewriteEngine On
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
    RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
    RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]

    # Set the response header to the captured value if there was a match
    Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>

ACCESS_CONTROL_ROOTブロックの上部にある変数をルートドメインに設定するだけで、ドメインと一致する場合、Origin:リクエストヘッダー値がAccess-Control-Allow-Origin:応答ヘッダー値でクライアントにエコーバックされます。

sub.mydomain.comとして使用できることにも注意してください。これにより、ACCESS_CONTROL_ROOTオリジンがsub.mydomain.comとに制限されます*.sub.mydomain.com(つまり、ドメインルートである必要はありません)。変更が許可されている要素(プロトコル、ポート)は、正規表現のURI一致部分を変更することで制御できます。

25
Pratap Koritala 2016-09-24 09:54.

受け入れられた答えは以下を行うことができないので、私はこの質問に答えています

  1. 正規表現のグループ化はパフォーマンスへの影響であり、必須ではありません。
  2. プライマリドメインと一致することはできず、サブドメインでのみ機能します。

例:次のCORSヘッダーは送信されません http://mywebsite.com のために働いている間 http://somedomain.mywebsite.com/

SetEnvIf Origin "http(s)?://(.+\.)?mywebsite\.com(:\d{1,5})?$" CORS=$0

Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
Header merge  Vary "Origin"

サイトを有効にするには、上記のApache構成の「mywebsite.com」の代わりにサイトを配置するだけです。

複数のサイトを許可するには:

SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0

展開後のテスト:

次のcurl応答には、変更後に「Access-Control-Allow-Origin」ヘッダーが含まれている必要があります。

curl -X GET -H "Origin: http://examplesite1.com" --verbose http://examplesite2.com/query
14
Lars 2015-05-23 00:42.

PHPのみのソリューションが必要だったので、誰かがそれを必要とする場合に備えて。「* .example.com」のような許可された入力文字列を受け取り、入力が一致する場合はリクエストヘッダーサーバー名を返します。

function getCORSHeaderOrigin($allowed, $input)
{
    if ($allowed == '*') { return '*'; } $allowed = preg_quote($allowed, '/'); if (($wildcardPos = strpos($allowed, '*')) !== false) { $allowed = str_replace('*', '(.*)', $allowed); } $regexp = '/^' . $allowed . '$/';

    if (!preg_match($regexp, $input, $matches)) { return 'none'; } return $input;
}

そして、phpunitデータプロバイダーのテストケースは次のとおりです。

//    <description>                            <allowed>          <input>                   <expected>
array('Allow Subdomain',                       'www.example.com', 'www.example.com',        'www.example.com'),
array('Disallow wrong Subdomain',              'www.example.com', 'ws.example.com',         'none'),
array('Allow All',                             '*',               'ws.example.com',         '*'),
array('Allow Subdomain Wildcard',              '*.example.com',   'ws.example.com',         'ws.example.com'),
array('Disallow Wrong Subdomain no Wildcard',  '*.example.com',   'example.com',            'none'),
array('Allow Double Subdomain for Wildcard',   '*.example.com',   'a.b.example.com',        'a.b.example.com'),
array('Don\'t fall for incorrect position',    '*.example.com',   'a.example.com.evil.com', 'none'),
array('Allow Subdomain in the middle',         'a.*.example.com', 'a.bc.example.com',       'a.bc.example.com'),
array('Disallow wrong Subdomain',              'a.*.example.com', 'b.bc.example.com',       'none'),
array('Correctly handle dots in allowed',      'example.com',     'exampleXcom',            'none'),
3
AamirR 2018-10-28 03:33.

Access-Control-Allow-Origin.htaccessで設定すると、次の機能のみが機能します。

SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS

私は他のいくつかの提案のキーワードを試してみましたHeader appendHeader setどれも働いていないこれらのキーワードが有効なため、古くなったりしない場合、私はわかりませんけれども、SOの多くの回答で提案されているようにnginxの

これが私の完全な解決策です:

SetEnvIf Origin "http(s)?://(.+\.)?domain\.com(:\d{1,5})?$" CRS=$0
Header always set Access-Control-Allow-Origin "%{CRS}e" env=CRS
Header merge Vary "Origin"

Header always set Access-Control-Allow-Methods "GET, POST"
Header always set Access-Control-Allow-Headers: *

# Cached for a day
Header always set Access-Control-Max-Age: 86400

RewriteEngine On

# Respond with 200OK for OPTIONS
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
2
K8sN0v1c3 2017-11-19 08:30.

「cookieドメイン」(www.domain.tld)からフォントを読み取るときに、静的な「cookie-less」ドメインのFont Awesomeで同様の問題が発生し、この投稿が私たちのヒーローでした。ここを参照してください:「ミッシングクロスオリジンリソースシェアリング(CORS)応答ヘッダー」Webフォントの問題を修正するにはどうすればよいですか?

copy / paste-rタイプの場合(そしていくつかの小道具を与えるために)、私はこれをすべての貢献からつなぎ合わせて、サイトルートの.htaccessファイルの先頭に追加しました:

<IfModule mod_headers.c>
 <IfModule mod_rewrite.c>
    SetEnvIf Origin "http(s)?://(.+\.)?(othersite\.com|mywebsite\.com)(:\d{1,5})?$" CORS=$0
    Header set Access-Control-Allow-Origin "%{CORS}e" env=CORS
    Header merge  Vary "Origin"
 </IfModule>
</IfModule>

超安全、超エレガント。気に入ってください:リソース泥棒/ホットリンカータイプにサーバーの帯域幅を開放する必要はありません。

小道具:@Noyo @DaveRandom @ pratap-koritala

(私はこれを受け入れられた答えへのコメントとして残そうとしました、しかし私はまだそれをすることができません)

1
Jack K 2018-04-25 10:00.

元の答えはApache2.4より前のものだったようです。それは私にはうまくいきませんでした。2.4で機能させるために変更しなければならなかったものは次のとおりです。これは、yourcompany.comのサブドメインの任意の深さで機能します。

SetEnvIf Host ^((?:.+\.)*yourcompany\.com?)$ CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin  %{REQUEST_SCHEME}e://%{CORS_ALLOW_ORIGIN}e    env=CORS_ALLOW_ORIGIN
Header merge  Vary "Origin"
1
RiZKiT 2018-12-05 00:54.

Spring Bootの場合RegexCorsConfiguration、公式を拡張するこれを見つけましたCorsConfiguration:https://github.com/looorent/spring-security-jwt/blob/master/src/main/java/be/looorent/security/jwt/RegexCorsConfiguration.java

0
Capricorn 2018-11-28 06:19.

孤立したものが正規表現になってしまったため、Larsの回答を少し変更\して、実際のホスト(プロトコルやポートに注意を払わない)のみを比較する必要があり、本番localhostドメイン以外のドメインをサポートしたいと思いました。そのため、$allowedパラメーターを配列に変更しました。

function getCORSHeaderOrigin($allowed, $input) { if ($allowed == '*') {
        return '*';
    }

    if (!is_array($allowed)) { $allowed = array($allowed); } foreach ($allowed as &$value) { $value = preg_quote($value, '/'); if (($wildcardPos = strpos($value, '\*')) !== false) { $value = str_replace('\*', '(.*)', $value); } } $regexp = '/^(' . implode('|', $allowed) . ')$/';

    $inputHost = parse_url($input, PHP_URL_HOST);

    if ($inputHost === null || !preg_match($regexp, $inputHost, $matches)) {
        return 'none';
    }

    return $input;
}

次のように使用します。

if (isset($_SERVER['HTTP_ORIGIN'])) {
    header("Access-Control-Allow-Origin: " . getCORSHeaderOrigin(array("*.myproduction.com", "localhost"), $_SERVER['HTTP_ORIGIN']));
}

Related questions

MORE COOL STUFF

「水曜日」シーズン1の中心には大きなミステリーがあります

「水曜日」シーズン1の中心には大きなミステリーがあります

Netflixの「水曜日」は、典型的な10代のドラマ以上のものであり、実際、シーズン1にはその中心に大きなミステリーがあります.

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ボディーランゲージの専門家は、州訪問中にカミラ・パーカー・ボウルズが輝くことを可能にした微妙なケイト・ミドルトンの動きを指摘しています

ケイト・ミドルトンは、州の夕食会と州の訪問中にカミラ・パーカー・ボウルズからスポットライトを奪いたくなかった、と専門家は言う.

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンが、オリビア・ワイルドが彼女とハリー・スタイルズとの間の「難しい」が「非常に友好的」な分割を恒久的にすることを望んでいる理由を見つけてください.

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする&nbsp;

エリザベス女王の死後、ケイト・ミドルトンが舞台裏で「非常に困難な時期」を過ごしていたと伝えられている理由を調べてください.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セント ヘレナ島のジェイコブズ ラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

The Secrets of Airline Travel Quiz

The Secrets of Airline Travel Quiz

Air travel is far more than getting from point A to point B safely. How much do you know about the million little details that go into flying on airplanes?

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

パンデミックは終わったかもしれないが、Covid-19 は終わっていない

パンデミックは終わったかもしれないが、Covid-19 は終わっていない

2021 年 6 月 8 日にニューヨーク市で開催された covid-19 パンデミックで亡くなった人々の命を偲び、祝うために、ネーミング ザ ロスト メモリアルズが主催するイベントと行進の最中に、グリーンウッド墓地の正門から記念碑がぶら下がっています。週末、ジョー・バイデン大統領は、covid-19 パンデミックの終息を宣言しました。これは、過去 2 年以上にわたり、公の場でそうするための長い列の中で最新のものです。

デビル・イン・オハイオの予告編は、エミリー・デシャネルもオハイオにいることを明らかにしています

デビル・イン・オハイオの予告編は、エミリー・デシャネルもオハイオにいることを明らかにしています

オハイオ州のエミリー・デシャネル みんな早く来て、ボーンズが帰ってきた!まあ、ショーボーンズではなく、彼女を演じた俳優. エミリー・デシャネルに最後に会ってからしばらく経ちました.Emily Deschanel は、長期にわたるプロシージャルな Bones の Temperance “Bones” Brennan としてよく知られています。

ドナルド・トランプはFBIのマー・ア・ラーゴ襲撃映像をリリースする予定ですか?

ドナルド・トランプはFBIのマー・ア・ラーゴ襲撃映像をリリースする予定ですか?

どうやら、ドナルド・トランプに近い人々は、今月初めにFBIによって家宅捜索された彼のMar-a-Lago財産からの映像を公開するよう彼に勧めています. 前大統領はテープを公開するかどうかを確認していませんが、息子はフォックス・ニュースにそうなるだろうと語った.

Andor は、他の Star Wars ショーから大きな距離を置きます。

Andor は、他の Star Wars ショーから大きな距離を置きます。

アンドールの一場面。数十年前、ジョージ・ルーカスがスター・ウォーズのテレビ番組を制作するのを妨げた主な理由は、お金でした。

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、子供向けのパズルの本の序文を書き、ジョージ王子、シャーロット王女、ルイ王子と一緒にテキストを読むと述べた.

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

Yak's Produce は、数十個のつぶれたメロンを野生動物のリハビリ専門家であるレスリー グリーンと彼女のルイジアナ州の救助施設で暮らす 42 匹の動物に寄付しました。

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

8 枚目のスタジオ アルバムのリリースに向けて準備を進めているデミ ロヴァートは、「スーパー グレート ガイ」と付き合っている、と情報筋は PEOPLE に確認しています。

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

イーサン プラスの誕生日のお祝いは、TLC のウェルカム トゥ プラスビルのシーズン 4 のフィナーレで、戦争中の母親のキム プラスと妻のオリビア プラスを結びつけました。

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

ホームオフィスのセットアップ術を極めよう!AppExert の開発者は、家族全員が一緒にいる場合でも、在宅勤務の技術を習得しています。祖父や曽祖父が共同家族で暮らしていた頃の記憶がよみがえりました。

2022 年、私たちのデジタル ライフはどこで終わり、「リアル ライフ」はどこから始まるのでしょうか?

20 年前のタイムトラベラーでさえ、日常生活におけるデジタルおよびインターネットベースのサービスの重要性に驚くことでしょう。MySpace、eBay、Napster などのプラットフォームは、高速化に焦点を合わせた世界がどのようなものになるかを示してくれました。

ニューロマーケティングの秘密科学

ニューロマーケティングの秘密科学

マーケティング担当者が人間の欲望を操作するために使用する、最先端の (気味が悪いと言う人もいます) メソッドを探ります。カートをいっぱいにして 3 桁の領収書を持って店を出る前に、ほんの数点の商品を買いに行ったことはありませんか? あなたは一人じゃない。

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

私たちが住んでいる世界を確実に理解するには、データが必要です。ただし、空間参照がない場合、このデータは地理的コンテキストがないと役に立たなくなる可能性があります。

Language