Kiểm soát truy cập cho phép danh sách gốc
Phản hồi cho yêu cầu CORS thiếu tiêu đề Access-Control-Allow-Origin: https://amazing.site2 bắt buộc, được sử dụng để xác định xem tài nguyên có thể được truy cập bởi nội dung hoạt động trong nguồn gốc hiện tại hay không Show Nếu máy chủ nằm dưới sự kiểm soát của bạn, hãy thêm nguồn gốc của trang web yêu cầu vào tập hợp các miền được phép truy cập bằng cách thêm nó vào giá trị của tiêu đề Access-Control-Allow-Origin: https://amazing.site2 Ví dụ: để cho phép một trang web tại https. //kinh ngạc. site để truy cập tài nguyên bằng CORS, tiêu đề phải là Access-Control-Allow-Origin: https://amazing.site Bạn cũng có thể định cấu hình một trang để cho phép bất kỳ trang nào truy cập trang đó bằng cách sử dụng ký tự đại diện Access-Control-Allow-Origin: https://amazing.site4. Bạn chỉ nên sử dụng điều này cho các API công khai. Các API riêng tư không bao giờ được sử dụng Access-Control-Allow-Origin: https://amazing.site4 và thay vào đó nên đặt một hoặc nhiều miền cụ thể. Ngoài ra, ký tự đại diện chỉ hoạt động đối với các yêu cầu được thực hiện với thuộc tính Access-Control-Allow-Origin: https://amazing.site6 được đặt thành Access-Control-Allow-Origin: https://amazing.site0 và nó ngăn việc gửi thông tin xác thực như cookie trong các yêu cầu Access-Control-Allow-Origin: * Cảnh báo. Sử dụng ký tự đại diện để cho phép tất cả các trang web truy cập API riêng tư là một ý tưởng tồi Để cho phép bất kỳ trang web nào thực hiện các yêu cầu CORS mà không cần sử dụng ký tự đại diện Access-Control-Allow-Origin: https://amazing.site4 (ví dụ: để bật thông tin đăng nhập), máy chủ của bạn phải đọc giá trị của tiêu đề Access-Control-Allow-Origin: https://amazing.site2 của yêu cầu và sử dụng giá trị đó để đặt Access-Control-Allow-Origin: https://amazing.site2, đồng thời phải đặt tiêu đề Access-Control-Allow-Origin: https://amazing.site4 để chỉ ra Chỉ thị chính xác để đặt tiêu đề phụ thuộc vào máy chủ web của bạn. Trong Apache, thêm một dòng như sau vào cấu hình của máy chủ (trong phần Access-Control-Allow-Origin: https://amazing.site5, Access-Control-Allow-Origin: https://amazing.site6, Access-Control-Allow-Origin: https://amazing.site7 hoặc Access-Control-Allow-Origin: https://amazing.site8 thích hợp). Cấu hình thường được tìm thấy trong tệp Access-Control-Allow-Origin: https://amazing.site9 ( Access-Control-Allow-Origin: *0 và Access-Control-Allow-Origin: *1 là tên chung của những tệp này) hoặc trong tệp Access-Control-Allow-Origin: *2 Được phát hành. 28 tháng sáu 2021 Thẻ Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) là một cơ chế dựa trên tiêu đề HTTP cho phép máy chủ chỉ ra bất kỳ nguồn gốc nào (miền, sơ đồ hoặc cổng) khác với nguồn gốc của chính nó mà từ đó trình duyệt sẽ cho phép tải tài nguyên. [Theo nhà phát triển. mozilla. tổ chức] Trong trang Episerver của bạn, bạn có thể thêm một tên miền vào tệp Access-Control-Allow-Origin: https://amazing.site9 của mình như thế này Access-Control-Allow-Origin: https://amazing.site3 Bạn có thể cho phép tất cả các nguồn gốc bằng cách thay thế miền bằng Access-Control-Allow-Origin: https://amazing.site4, nhưng không thể thêm danh sách miền trong Access-Control-Allow-Origin: https://amazing.site9 Để cho phép nhiều miền, hãy kiểm tra tiêu đề Access-Control-Allow-Origin: https://amazing.site2 đối với danh sách các miền được phép và chỉ trả về miền đó. Ví dụ Hiện tại, các tập lệnh phía máy khách (e. g. , JavaScript) bị ngăn truy cập vào phần lớn Web của Dữ liệu được Liên kết do các hạn chế "cùng nguồn gốc" được triển khai trong tất cả các trình duyệt Web chính Trong khi việc cho phép truy cập như vậy là quan trọng đối với tất cả dữ liệu, nó đặc biệt quan trọng đối với Dữ liệu Mở được Liên kết và các dịch vụ liên quan; Nếu bạn có dữ liệu công khai không sử dụng yêu cầu xác thực dựa trên cookie hoặc phiên để xem, thì vui lòng xem xét việc mở dữ liệu đó để truy cập trình duyệt/JavaScript phổ biến Để CORS truy cập vào bất kỳ thứ gì khác ngoài các tài nguyên đơn giản, không được bảo vệ xác thực, vui lòng xem phần viết đầy đủ này trên Bảo mật yêu cầu nguồn gốc chéo Làm thế nào tôi có thể tham gia?Cấp quyền truy cập cơ bản cho máy khách JavaScript vào tài nguyên của bạn chỉ cần thêm một Tiêu đề phản hồi HTTP, cụ thể là Access-Control-Allow-Origin: https://amazing.site4 Ký tự đại diện dấu hoa thị cho phép các tập lệnh được lưu trữ trên bất kỳ trang web nào tải tài nguyên của bạn; Điều này tương thích với cả XHR XMLHttpRequest và XDR XDomainRequest, và là (Lưu ý rằng không thể cấp quyền truy cập vào nhiều trang web cụ thể, cũng như không thể sử dụng đối sánh một phần ký tự đại diện. Cũng không thể chỉ định nhiều hơn một tiêu đề Access-Control-Allow-Origin. ) Ở cấp Máy chủ HTTPLưu ý bảo mật. Các ví dụ được đưa ra dưới đây giả sử miền ký tự đại diện '*' cho tiêu đề Kiểm soát truy cập-Cho phép-Xuất xứ. Điều này được cung cấp để đơn giản hóa việc sử dụng CORS cơ bản, thực tế có nghĩa là "Tôi không quan tâm cách sử dụng này. " Trong cài đặt mạng nội bộ, điều này có thể dẫn đến rò rỉ dữ liệu ra ngoài mạng nội bộ và do đó nên tránh. Trong cài đặt sản xuất, bạn nên tận dụng các tính năng đầy đủ của đặc tả CORS để đảm bảo rằng nó thể hiện chính sách bảo mật thực tế của bạn. Điều đó nói rằng, trong một tình huống Dữ liệu Mở điển hình, thẻ đại diện có thể là cách sử dụng thích hợp của CORS Đối với ApacheApache có thể được cấu hình để hiển thị tiêu đề này bằng cách sử dụng Access-Control-Allow-Origin: https://amazing.site58. Điều này được bật theo mặc định trong Apache, tuy nhiên bạn có thể muốn đảm bảo rằng nó được bật trong quá trình triển khai của mình bằng cách chạy lệnh sau Access-Control-Allow-Origin: https://amazing.site5 Để hiển thị tiêu đề, bạn có thể thêm dòng sau vào các phần Access-Control-Allow-Origin: https://amazing.site57, Access-Control-Allow-Origin: https://amazing.site57 và Access-Control-Allow-Origin: https://amazing.site57 hoặc trong tệp Access-Control-Allow-Origin: *12 Access-Control-Allow-Origin: *1 Bạn có thể sử dụng Access-Control-Allow-Origin: *13 thay vì Access-Control-Allow-Origin: *14, nhưng hãy lưu ý rằng Access-Control-Allow-Origin: *13 có thể thêm tiêu đề nhiều lần, do đó, sử dụng Access-Control-Allow-Origin: *14 nói chung sẽ an toàn hơn Cuối cùng, bạn có thể cần tải lại Apache để đảm bảo rằng các thay đổi của bạn đã được áp dụng Đối với nginxCORS có thể được bật bằng cách sử dụng mô-đun lõi Tiêu đề được biên dịch thành nginx theo mặc định Access-Control-Allow-Origin: *7 Đối với IIS7Hợp nhất tệp này vào tệp Access-Control-Allow-Origin: *17 ở thư mục gốc của ứng dụng/trang web của bạn Access-Control-Allow-Origin: *9 Nếu bạn không có web. config đã có hoặc không biết nó là gì, chỉ cần tạo một tệp mới có tên là "web. config" chứa đoạn mã trên Đối với IIS6
Đối với cầu cảng (7 trở lên)Cầu tàu 7 (bắt đầu bằng 7. 0. 0. chính xác là RC2) vận chuyển với một Access-Control-Allow-Origin: *70. Thêm thông tin Bao gồm JAR Access-Control-Allow-Origin: *71 vào Access-Control-Allow-Origin: *72 của bạn và hợp nhất cái này vào Access-Control-Allow-Origin: *73 của bạn Access-Control-Allow-Origin: https://amazing.site6 Access-Control-Allow-Origin: *70 cũng có thể được cấu hình trong webdefault. xml để áp dụng cho tất cả các ứng dụng; Đó là một bộ lọc servlet đơn giản và có thể sử dụng được trong các thùng chứa servlet khác, chẳng hạn như Tomcat, JBoss AS hoặc Glassfish Đối với OpenLink Virtuoso (Các trang web cơ bản, Không gian dữ liệu được liên kết, Điểm cuối SPARQL, v.v.)
Đối với Apache Tomcat (7. 0. 41 trở lên)Apache Tomcat (7. 0. 41 trở đi) đi kèm với bộ lọc Chia sẻ tài nguyên gốc chéo. Vui lòng tham khảo để biết thêm thông tin Cấu hình tối thiểu cần thiết để sử dụng bộ lọc này là Access-Control-Allow-Origin: https://amazing.site0 Để biết thêm các tùy chọn cấu hình, hãy tham khảo Nếu không thể định cấu hình máy chủ HTTP, bạn vẫn có thể thêm tiêu đề cần thiết thông qua các môi trường lưu trữ khác nhau trong ASP. BỌC LƯỚIThêm dòng sau vào trang nguồn của bạn Access-Control-Allow-Origin: https://amazing.site1 Điều này tương thích với Chế độ cổ điển IIS6, IIS7 và Chế độ tích hợp IIS7 Trong Plack ScriptCài đặt Plack. Phần mềm trung gian. mô-đun CrossOrigin và kích hoạt nó với Access-Control-Allow-Origin: https://amazing.site2 Ngoài ra còn có các tùy chọn nâng cao hơn Trong Tập lệnh CGIChỉ cần xuất dòng Access-Control-Allow-Origin: https://amazing.site3
Với Perl, sử dụng CGI. buổi chiềuAccess-Control-Allow-Origin: https://amazing.site50 Với PythonAccess-Control-Allow-Origin: https://amazing.site51 Trong ExpressJSTrong ứng dụng ExpressJS của bạn trên nodejs, hãy thực hiện các thao tác sau với các tuyến đường của bạn Access-Control-Allow-Origin: https://amazing.site52 Access-Control-Allow-Origin: https://amazing.site53 Access-Control-Allow-Origin: https://amazing.site54 Trong PHPThêm dòng sau vào tập lệnh PHP của bạn -- Access-Control-Allow-Origin: https://amazing.site55 Trong các máy chủ JavaChỉ cần thêm tiêu đề vào HttpServletResponse của bạn bằng cách gọi Access-Control-Allow-Origin: *77. Access-Control-Allow-Origin: https://amazing.site56 Ai đang làm nó rồi?nền tảngDịch vụĐiểm cuối SPARQLTập dữ liệuBản thể luậnAi vẫn cần lên tàu?Tham gia nỗ lực của chúng tôi để kích hoạt CORS trên Web bằng cách yêu cầu trang web yêu thích của bạn triển khai nó. Bạn có thể theo dõi tiến độ các yêu cầu gửi đến các dịch vụ phổ biến tại đây. Đừng ngần ngại tham gia các cuộc trò chuyện được liên kết tại đây và liệt kê các yêu cầu mà bạn đã tự thực hiện. Bạn có thể có nhiều quyền truy cập khôngNhiều tiêu đề Access-Control-Allow-Origin đã được gửi bởi máy chủ. Điều này không được phép .
* trong Access là gìKiểm soát truy cập-Cho phép-Xuất xứ chỉ định một nguồn gốc duy nhất thông báo cho các trình duyệt cho phép nguồn gốc đó truy cập tài nguyên; . tells browsers to allow any origin to access the resource.
là quyền truy cậpKiểm soát truy cập-Cho phép-Xuất xứ. * là hoàn toàn an toàn để thêm vào bất kỳ tài nguyên nào, trừ khi tài nguyên đó chứa dữ liệu riêng tư được bảo vệ bởi thứ gì đó không phải là thông tin xác thực tiêu chuẩn . Thông tin xác thực tiêu chuẩn là cookie, xác thực cơ bản HTTP và chứng chỉ ứng dụng khách TLS.
Truy cập như thế nàoKiểm soát truy cập-Cho phép-Xuất xứ là tiêu đề CORS (chia sẻ tài nguyên gốc chéo). Khi Trang web A cố gắng tìm nạp nội dung từ Trang web B, Trang web B có thể gửi tiêu đề phản hồi Kiểm soát truy cập-Cho phép-Xuất xứ để thông báo cho trình duyệt rằng nội dung của trang này có thể truy cập được từ một số nguồn gốc nhất định |