Phản hồi cho yêu cầu CORS thiếu tiêu đề
Access-Control-Allow-Origin: //amazing.site2 bắt buộc, được sử dụng để xác định xem tài nguyên có thể được truy cập bởi nội dung hoạt động trong nguồn gốc hiện tại hay không
Nếu máy chủ nằm dưới sự kiểm soát của bạn, hãy thêm nguồn gốc của trang web yêu cầu vào tập hợp các miền được phép truy cập bằng cách thêm nó vào giá trị của tiêu đề
Access-Control-Allow-Origin: //amazing.site2
Ví dụ: để cho phép một trang web tại https. //kinh ngạc. site để truy cập tài nguyên bằng CORS, tiêu đề phải là
Access-Control-Allow-Origin: //amazing.site
Bạn cũng có thể định cấu hình một trang để cho phép bất kỳ trang nào truy cập trang đó bằng cách sử dụng ký tự đại diện
Access-Control-Allow-Origin: //amazing.site4. Bạn chỉ nên sử dụng điều này cho các API công khai. Các API riêng tư không bao giờ được sử dụng
Access-Control-Allow-Origin: //amazing.site4 và thay vào đó nên đặt một hoặc nhiều miền cụ thể. Ngoài ra, ký tự đại diện chỉ hoạt động đối với các yêu cầu được thực hiện với thuộc tính
Access-Control-Allow-Origin: //amazing.site6 được đặt thành
Access-Control-Allow-Origin: //amazing.site0 và nó ngăn việc gửi thông tin xác thực như cookie trong các yêu cầu
Access-Control-Allow-Origin: *
Cảnh báo. Sử dụng ký tự đại diện để cho phép tất cả các trang web truy cập API riêng tư là một ý tưởng tồi
Để cho phép bất kỳ trang web nào thực hiện các yêu cầu CORS mà không cần sử dụng ký tự đại diện
Access-Control-Allow-Origin: //amazing.site4 [ví dụ: để bật thông tin đăng nhập], máy chủ của bạn phải đọc giá trị của tiêu đề
Access-Control-Allow-Origin: //amazing.site2 của yêu cầu và sử dụng giá trị đó để đặt
Access-Control-Allow-Origin: //amazing.site2, đồng thời phải đặt tiêu đề
Access-Control-Allow-Origin: //amazing.site4 để chỉ ra
Chỉ thị chính xác để đặt tiêu đề phụ thuộc vào máy chủ web của bạn. Trong Apache, thêm một dòng như sau vào cấu hình của máy chủ [trong phần
Access-Control-Allow-Origin: //amazing.site5,
Access-Control-Allow-Origin: //amazing.site6,
Access-Control-Allow-Origin: //amazing.site7 hoặc
Access-Control-Allow-Origin: //amazing.site8 thích hợp]. Cấu hình thường được tìm thấy trong tệp
Access-Control-Allow-Origin: //amazing.site9 [
Access-Control-Allow-Origin: *0 và
Access-Control-Allow-Origin: *1 là tên chung của những tệp này] hoặc trong tệp
Access-Control-Allow-Origin: *2
Được phát hành. 28 tháng sáu 2021 Thẻ
Chia sẻ tài nguyên trên nhiều nguồn gốc [CORS] là một cơ chế dựa trên tiêu đề HTTP cho phép máy chủ chỉ ra bất kỳ nguồn gốc nào [miền, sơ đồ hoặc cổng] khác với nguồn gốc của chính nó mà từ đó trình duyệt sẽ cho phép tải tài nguyên. [Theo nhà phát triển. mozilla. tổ chức]
Trong trang Episerver của bạn, bạn có thể thêm một tên miền vào tệp
Access-Control-Allow-Origin: //amazing.site9 của mình như thế này
Access-Control-Allow-Origin: //amazing.site3
Bạn có thể cho phép tất cả các nguồn gốc bằng cách thay thế miền bằng
Access-Control-Allow-Origin: //amazing.site4, nhưng không thể thêm danh sách miền trong
Access-Control-Allow-Origin: //amazing.site9
Để cho phép nhiều miền, hãy kiểm tra tiêu đề
Access-Control-Allow-Origin: //amazing.site2 đối với danh sách các miền được phép và chỉ trả về miền đó. Ví dụ
Hiện tại, các tập lệnh phía máy khách [e. g. , JavaScript] bị ngăn truy cập vào phần lớn Web của Dữ liệu được Liên kết do các hạn chế "cùng nguồn gốc" được triển khai trong tất cả các trình duyệt Web chính
Trong khi việc cho phép truy cập như vậy là quan trọng đối với tất cả dữ liệu, nó đặc biệt quan trọng đối với Dữ liệu Mở được Liên kết và các dịch vụ liên quan;
Nếu bạn có dữ liệu công khai không sử dụng yêu cầu xác thực dựa trên cookie hoặc phiên để xem, thì vui lòng xem xét việc mở dữ liệu đó để truy cập trình duyệt/JavaScript phổ biến
Để CORS truy cập vào bất kỳ thứ gì khác ngoài các tài nguyên đơn giản, không được bảo vệ xác thực, vui lòng xem phần viết đầy đủ này trên Bảo mật yêu cầu nguồn gốc chéo
Làm thế nào tôi có thể tham gia?
Cấp quyền truy cập cơ bản cho máy khách JavaScript vào tài nguyên của bạn chỉ cần thêm một Tiêu đề phản hồi HTTP, cụ thể là
Access-Control-Allow-Origin: //amazing.site4
Ký tự đại diện dấu hoa thị cho phép các tập lệnh được lưu trữ trên bất kỳ trang web nào tải tài nguyên của bạn;
Điều này tương thích với cả XHR XMLHttpRequest và XDR XDomainRequest, và là
[Lưu ý rằng không thể cấp quyền truy cập vào nhiều trang web cụ thể, cũng như không thể sử dụng đối sánh một phần ký tự đại diện. Cũng không thể chỉ định nhiều hơn một tiêu đề Access-Control-Allow-Origin. ]
Ở cấp Máy chủ HTTP
Lưu ý bảo mật. Các ví dụ được đưa ra dưới đây giả sử miền ký tự đại diện '*' cho tiêu đề Kiểm soát truy cập-Cho phép-Xuất xứ. Điều này được cung cấp để đơn giản hóa việc sử dụng CORS cơ bản, thực tế có nghĩa là "Tôi không quan tâm cách sử dụng này. " Trong cài đặt mạng nội bộ, điều này có thể dẫn đến rò rỉ dữ liệu ra ngoài mạng nội bộ và do đó nên tránh. Trong cài đặt sản xuất, bạn nên tận dụng các tính năng đầy đủ của đặc tả CORS để đảm bảo rằng nó thể hiện chính sách bảo mật thực tế của bạn. Điều đó nói rằng, trong một tình huống Dữ liệu Mở điển hình, thẻ đại diện có thể là cách sử dụng thích hợp của CORS
Đối với Apache
Apache có thể được cấu hình để hiển thị tiêu đề này bằng cách sử dụng
Access-Control-Allow-Origin: //amazing.site58. Điều này được bật theo mặc định trong Apache, tuy nhiên bạn có thể muốn đảm bảo rằng nó được bật trong quá trình triển khai của mình bằng cách chạy lệnh sau
Access-Control-Allow-Origin: //amazing.site5
Để hiển thị tiêu đề, bạn có thể thêm dòng sau vào các phần
Access-Control-Allow-Origin: //amazing.site57,
Access-Control-Allow-Origin: //amazing.site57 và
Access-Control-Allow-Origin: //amazing.site57 hoặc trong tệp
Access-Control-Allow-Origin: *12
Access-Control-Allow-Origin: *1
Bạn có thể sử dụng
Access-Control-Allow-Origin: *13 thay vì
Access-Control-Allow-Origin: *14, nhưng hãy lưu ý rằng
Access-Control-Allow-Origin: *13 có thể thêm tiêu đề nhiều lần, do đó, sử dụng
Access-Control-Allow-Origin: *14 nói chung sẽ an toàn hơn
Cuối cùng, bạn có thể cần tải lại Apache để đảm bảo rằng các thay đổi của bạn đã được áp dụng
Đối với nginx
CORS có thể được bật bằng cách sử dụng mô-đun lõi Tiêu đề được biên dịch thành nginx theo mặc định
Access-Control-Allow-Origin: *7
Đối với IIS7
Hợp nhất tệp này vào tệp
Access-Control-Allow-Origin: *17 ở thư mục gốc của ứng dụng/trang web của bạn
Access-Control-Allow-Origin: *9
Nếu bạn không có web. config đã có hoặc không biết nó là gì, chỉ cần tạo một tệp mới có tên là "web. config" chứa đoạn mã trên
Đối với IIS6
- Mở Trình quản lý Dịch vụ Thông tin Internet [IIS]
- Nhấp chuột phải vào trang web bạn muốn bật CORS và chuyển đến Thuộc tính
- Thay đổi sang tab Tiêu đề HTTP
- Trong phần Tiêu đề HTTP tùy chỉnh, nhấp vào Thêm
- Nhập
Access-Control-Allow-Origin: *
18 làm tên tiêu đề - Nhập
Access-Control-Allow-Origin: *
19 làm giá trị tiêu đề - Nhấp vào Ok hai lần
Đối với cầu cảng [7 trở lên]
Cầu tàu 7 [bắt đầu bằng 7. 0. 0. chính xác là RC2] vận chuyển với một
Access-Control-Allow-Origin: *70. Thêm thông tin
Bao gồm JAR
Access-Control-Allow-Origin: *71 vào
Access-Control-Allow-Origin: *72 của bạn và hợp nhất cái này vào
Access-Control-Allow-Origin: *73 của bạn
Access-Control-Allow-Origin: //amazing.site6
Access-Control-Allow-Origin: *70 cũng có thể được cấu hình trong webdefault. xml để áp dụng cho tất cả các ứng dụng;
Đó là một bộ lọc servlet đơn giản và có thể sử dụng được trong các thùng chứa servlet khác, chẳng hạn như Tomcat, JBoss AS hoặc Glassfish
Đối với OpenLink Virtuoso [Các trang web cơ bản, Không gian dữ liệu được liên kết, Điểm cuối SPARQL, v.v.]
- Mở giao diện người dùng quản trị thư mục và nhà ảo của Nhạc trưởng Virtuoso
- Đặt các tùy chọn CORS trên thư mục ảo đích của bạn thông qua trường Chia sẻ tài nguyên nguồn gốc chéo bằng cách nhập. " * " hoặc danh sách URI máy chủ HTTP được phân tách bằng dấu cách, e. g. ,
____276 - Tùy chọn mở hộp kiểm Từ chối CORS ngoài ý muốn và Nguồn gốc chưa khớp [sau khi bất kỳ tiêu đề nào được viết lại bởi chính ứng dụng] sẽ nhận được phản hồi trống
Đối với Apache Tomcat [7. 0. 41 trở lên]
Apache Tomcat [7. 0. 41 trở đi] đi kèm với bộ lọc Chia sẻ tài nguyên gốc chéo. Vui lòng tham khảo để biết thêm thông tin
Cấu hình tối thiểu cần thiết để sử dụng bộ lọc này là
Access-Control-Allow-Origin: //amazing.site0
Để biết thêm các tùy chọn cấu hình, hãy tham khảo
Nếu không thể định cấu hình máy chủ HTTP, bạn vẫn có thể thêm tiêu đề cần thiết thông qua các môi trường lưu trữ khác nhau
trong ASP. BỌC LƯỚI
Thêm dòng sau vào trang nguồn của bạn
Access-Control-Allow-Origin: //amazing.site1
Điều này tương thích với Chế độ cổ điển IIS6, IIS7 và Chế độ tích hợp IIS7
Trong Plack Script
Cài đặt Plack. Phần mềm trung gian. mô-đun CrossOrigin và kích hoạt nó với
Access-Control-Allow-Origin: //amazing.site2
Ngoài ra còn có các tùy chọn nâng cao hơn
Trong Tập lệnh CGI
Chỉ cần xuất dòng
Access-Control-Allow-Origin: //amazing.site3
như một phần của tiêu đề tập lệnh CGI của bạn
Access-Control-Allow-Origin: //amazing.site50Với Python
Access-Control-Allow-Origin: //amazing.site51
Trong ExpressJS
Trong ứng dụng ExpressJS của bạn trên nodejs, hãy thực hiện các thao tác sau với các tuyến đường của bạn
Access-Control-Allow-Origin: //amazing.site52
Access-Control-Allow-Origin: //amazing.site53
Access-Control-Allow-Origin: //amazing.site54
Trong PHP
Thêm dòng sau vào tập lệnh PHP của bạn --
Access-Control-Allow-Origin: //amazing.site55
Trong các máy chủ Java
Chỉ cần thêm tiêu đề vào HttpServletResponse của bạn bằng cách gọi
Access-Control-Allow-Origin: *77.
Access-Control-Allow-Origin: //amazing.site56
Ai đang làm nó rồi?
nền tảng
Dịch vụ
Điểm cuối SPARQL
Tập dữ liệu
Bản thể luận
Ai vẫn cần lên tàu?
Tham gia nỗ lực của chúng tôi để kích hoạt CORS trên Web bằng cách yêu cầu trang web yêu thích của bạn triển khai nó. Bạn có thể theo dõi tiến độ các yêu cầu gửi đến các dịch vụ phổ biến tại đây. Đừng ngần ngại tham gia các cuộc trò chuyện được liên kết tại đây và liệt kê các yêu cầu mà bạn đã tự thực hiện.