Existe-t-il un moyen d'autoriser plusieurs domaines croisés à l'aide de l'en- Access-Control-Allow-Origin
tête?
Je connais le *
, mais c'est trop ouvert. Je veux vraiment autoriser seulement quelques domaines.
Par exemple, quelque chose comme ceci:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example
J'ai essayé le code ci-dessus mais il ne semble pas fonctionner dans Firefox.
Est-il possible de spécifier plusieurs domaines ou suis-je coincé avec un seul?
Access-Control-Allow-Origin
tête nesignifie pas que d'autres domaines ne peuvent pas déclencher une méthode sur ce noeud final (par exemple la méthode API REST). Cela signifie simplement que les origines non autorisées ne peuvent pas utiliser le résultat en javascript (le navigateur le garantit). Pour restreindre l'accès à un point de terminaison pour des domaines spécifiques, utilisez un filtre de requête côté serveur qui, par exemple, renvoie HTTP 401 pour les domaines non autorisés.
Vary: Origin
tête lorsque vous souhaitez utiliser plusieurs URL, voir: fetch.spec.whatwg.org/#cors-protocol-and-http-caches