Esiste un modo per consentire più domini diversi usando l' Access-Control-Allow-Origin
intestazione?
Ne sono consapevole *
, ma è troppo aperto. Voglio davvero consentire solo un paio di domini.
Ad esempio, qualcosa del genere:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example
Ho provato il codice sopra ma non sembra funzionare in Firefox.
È possibile specificare più domini o sono bloccato con uno solo?
Access-Control-Allow-Origin
nell'intestazione non significa che altri domini non possano attivare un metodo su questo endpoint (es. metodo API REST). Significa solo che le origini non consentite non possono utilizzare il risultato in JavaScript (il browser lo assicura). Per limitare l'accesso a un endpoint per domini specifici, utilizzare un filtro di richiesta sul lato server che, ad esempio, restituisce HTTP 401 per domini non consentiti.
Vary: Origin
intestazione quando vuoi usare più URL, vedi: fetch.spec.whatwg.org/#cors-protocol-and-http-caches