Есть ли способ разрешить несколько кросс-доменов, используя Access-Control-Allow-Origin
заголовок?
Я знаю о *
, но это слишком открыто. Я действительно хочу разрешить только пару доменов.
Как пример, примерно так:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example
Я пробовал приведенный выше код, но он не работает в Firefox.
Можно ли указать несколько доменов или я застрял только на одном?
Access-Control-Allow-Origin
заголовке не означает, что другие домены не могут вызвать метод на этой конечной точке (например, метод REST API). Это просто означает, что запрещенные источники не могут использовать результат в javascript (браузер гарантирует это). Для ограничения доступа к конечной точке для определенных доменов используйте фильтр запросов на стороне сервера, который, например, возвращает HTTP 401 для запрещенных доменов.
Vary: Origin
заголовок, если хотите использовать несколько URL-адресов, см. Fetch.spec.whatwg.org/#cors-protocol-and-http-caches