小贝子编程

Cors 过滤器 - 允许所有子域



我希望我的CorsFilter执行以下操作:

// populating the header required for CORS
response.addHeader(
           "Access-Control-Allow-Origin",
           "https://*.myDomain.com");

整个想法是允许以下域发出请求:sub1.myDomain.com,sub2.myDomain.com,sub3.myDomain.com....sub100.myDomain.com

这对我不起作用。我怎样才能做到这一点?Iv'e尝试过:

response.addHeader(
           "Access-Control-Allow-Origin",
           "*.myDomain.com");

也没有成功。

CorsConfiguration.setAllowedOriginPatterns现在直接支持此用例。

修改文档示例以匹配您的问题,这可能是:

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOriginPatterns(Arrays.asList("https://*.myDomain.com"));
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

值得注意的是,像这样的通配符仍然不是CORS标准的一部分。相反,这是一个 Spring 机制,用于根据您的模式返回符合 CORS 的标头值。

例如,如果您现在从Origin=https://subdomain.myDomain.com进行调用,则响应将包含标头Access-Control-Allow-Origin=https://subdomain.myDomain.com

我有类似的问题,答案是肯定的。

这是我的解决方案(基于源标头处理访问控制允许原点)

1. 从"源"标头解析主机 

    // origin
    String origin = request.getHeader("Origin");
    URL originUrl = null;
    try {
        originUrl = new URL(origin);
    } catch (MalformedURLException ex) {
    }
    // originUrl.getHost() -> Return the host need to be verified

2. 检查 originUrl.getHost()

    // Allow myDomain.com
    // Or anySubDomain.myDomain.com
    // Or subSub.anySubDomain.myDomain.com
    // hostAllowedPattern 
    Pattern hostAllowedPattern = Pattern.compile("(.+\.)*myDomain\.com", Pattern.CASE_INSENSITIVE);
    // Allow host?
    if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
        response.addHeader("Access-Control-Allow-Origin", origin);
    } else {
        // Throw 403 status OR send default allow
        response.addHeader("Access-Control-Allow-Origin", "https://my_domain.com");
    }

3. 结果:

    // If 'origin': https://sub1.myDomain.com  --> Matched
    Access-Control-Allow-Origin: https://sub1.myDomain.com
    // If 'origin': https://sub2.myDomain.com   --> Matched
    Access-Control-Allow-Origin: https://sub2.myDomain.com
    // If 'origin': https://notAllowDomain.com   --> Not Matched
    Access-Control-Allow-Origin: https://my_domain.com

4. 其他:

    You need to verify scheme & port too.
你不能

,它要么是完整的域,要么是null,要么是全部:*

就像规范说:http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium