什么可以防止在服务器中覆盖 Access-Control-Allow-Origin？

Posted 2023-03-04

【中文标题】什么可以防止在服务器中覆盖 Access-Control-Allow-Origin？

【英文标题】：What can prevent overriding Access-Control-Allow-Origin in server?

【发布时间】：2019-06-06 13:14:43

【问题描述】：

我有一个带有 API 的 WP 站点，我正在使用其他站点调用它。我收到此错误

访问 www.wpsiteurl.com 上的 XMLHttpRequest 来源 www.theothersiteurl.com 已被 CORS 阻止 策略：对预检请求的响应未通过访问控制 检查：“Access-Control-Allow-Origin”标头包含多个 值 'www.theothersiteurl.com, *'，但只允许一个。

我找到了解决方案here和here，基本上都是介绍在注册函数中加入这个：

remove_filter( 'rest_pre_serve_request', 'rest_send_cors_headers' );
add_action( 'rest_pre_serve_request', function ($value) 
    $origin = get_http_origin();
    header( 'Access-Control-Allow-Headers: X-Requested-With' );
    header( 'Access-Control-Allow-Methods: POST, GET' );
    header( 'Access-Control-Allow-Origin: *');
    header( 'Access-Control-Allow-Credentials: true');
    return $value;
);

对我来说这是行不通的，因为它只是返回 * 或作为原点添加的任何内容和另一个 *。更改第二个参数没有帮助，添加此操作后似乎在来源中添加了通配符。

我按照答案中的建议编辑了 .htaccess 文件。这适用于我正在测试解决方案的其他环境。但是，在其他服务器上却没有 - 源被添加到源字符串中，就像它是与 php 一起添加的一样。

在我看来，似乎有些东西阻止了完全覆盖 access-control-allow-origin 并强制添加它。

我的问题是：

什么原因导致服务器不允许设置一个 Access-Control-Allow-Origin？ 如何“覆盖”或清除 Access-Control-Allow-Origin？

【问题讨论】：

***.com/questions/1653308/…你可以试试这个链接。

这可能会有所帮助 => crunchify.com/…

您和源站之间是否有 CDN 或代理服务器？另外，您是否阻止了OPTIONS？你需要它和 GET。

@adamrights 阻止选项？你能再解释一下吗？

【参考方案1】：

使用多个主机实现此目的的方法不止一种。一个是 .htaccess，另一个是 php。

使用 .htaccess：

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
    Header add Access-Control-Allow-Origin %AccessControlAllowOrigine env=AccessControlAllowOrigin
    Header merge Vary Origin
</IfModule>

使用 PHP：

$origin = $_SERVER['HTTP_ORIGIN'];

if ($origin == "http://www.domain1.com"
        || $origin == "http://www.domain2.com"
        || $origin == "http://www.domain3.com") 
    header("Access-Control-Allow-Origin: $origin");

【讨论】：

不幸的是，这并没有解决问题，但修改 .htaccess 让我更接近解决方案。我编辑了原始问题以反映我的发现。

这可能意味着您的 htaccess 不允许在您的其他服务器上覆盖更改 allowOverride None 为 allowOverride All 在 apache 的 httpd.conf 文件中让我知道它是否有效。或者您的 mod_headers 已启用。

【参考方案2】：

“Access-Control-Allow-Origin”标头包含多个值“www.theothersiteurl.com, *”，但只允许一个。

您必须非常小心，仅在某一点设置此标头。这可以在 3 个地方完成：

核心 Apache 配置 .htaccess PHP

出于性能和安全原因，我建议在核心 Apache 配置中执行此操作。

但是，如果您希望使用 .htaccess 文件实现此目的，请确保在 PHP 中没有对其进行任何修改，并确保在 <VirtualHost> 块中允许 AllowOverride。