Comment autoriser l’access aux fichiers SVG via CORS vers plusieurs domaines au sein de nginx
J’avais des problèmes pour charger les SVG sur mon site Web si vous consultiez website.com au lieu de www.website.com. Le site Web est sur un serveur nginx, alors j’ai ajouté ceci, et cela a résolu le problème:
location / { add_header Access-Control-Allow-Origin "*"; } Cependant, basé sur ce que j’ai lu, il semble que cela cause un problème de sécurité? Est-il possible de ne spécifier que www.website.com et website.com au lieu de *? Je demande parce que je suis tombé sur cela en PHP et il semble que ce dont j’ai besoin, mais pour nginx:
header('Access-Control-Allow-Origin: http://www.website.com'); header('Access-Control-Allow-Origin: http://website.com');
- Jouer 2 routage javascript avec https
- Comment accepter les requêtes CORS AJAX sur AppHarbor?
- Nginx CORS ne fonctionne pas pour POST
- Impossible d’envoyer une demande PUT à cause d’Access-Control-Allow-Methods dans une réponse en amont
- HttpClient – Angular4 – Aucun en-tête ‘Access-Control-Allow-Origin’ n’est présent sur la ressource demandée
- Nginx append des en-têtes PHP FPM renvoie une erreur
- NGINX, ssl, CORS et la mise en cache de la valeur croisée Access-Control-Allow-Origin
- Exposition d’un point final POST sur une tige de haricot élastique
- Utiliser Nginx comme proxy pour éviter CORS
- NGINX définissant les en-têtes CORS pour le sous-domaine `api` seulement
La spécification W3 sur Access-Control-Allow-Origin explique que plusieurs origines peuvent être spécifiées par une liste séparée par des espaces. En pratique, cependant, il est peu probable que cela soit interprété correctement par les implémentations actuelles dans les navigateurs (par exemple, échec pour Firefox 45 au moment de la rédaction); résumé par ce commentaire .
Pour implémenter ce dont vous avez besoin, l’extrait de code nginx suivant vérifie l’en-tête Origin entrant et ajuste la réponse en conséquence:
location / { if ($http_origin ~* "^https?://(website.com|www.website.com)$") { add_header Access-Control-Allow-Origin "$http_origin"; } }
Ajoutez plus de domaines dans l’expression régulière si nécessaire; le s? peut être supprimé si vous souhaitez uniquement prendre en charge http:// .
Pour noter, si vous incluez des fichiers SVG directement sur une page Web via HTML (par exemple, et votre réponse contiendra: , alors CORS et <code>Access-Control-Allow-Origin</code> ne sont pas Si vous utilisez l’atsortingbut <code>crossorigin</code> pour vos images (telles que les images <code>crossorigin</code> ), ou le chargement via JS, etc., ce qui précède est nécessaire. </p>
<hr />
<p> <strong>Réponse originale à l’ajout de plusieurs en-têtes portant le même nom dans nginx (les références CORS ont été supprimées car elles étaient incorrectes):</strong> </p>
<p> Vous pouvez utiliser plusieurs fois <code>add_header</code> dans un bloc donné: </p>
<pre> <code>location / { add_header Header-Name )
Header-Name: value Header-Name: value2 add_header peut également comporter des variables et noter que vous souhaiterez peut-être append le paramètre always (voir http://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header ) si vous souhaitez append des en-têtes à tous les codes de réponse, y compris les erreurs.
- AngularJS + Ngingx CORS
- Problème CORS Aucun en-tête ‘Access-Control-Allow-Origin’ n’est présent sur la ressource demandée
- Obtenir une erreur CORS lors de l’utilisation de socket.io / nginx / node
- Navigateurs mobiles ignorant Access-Control-Max-Age
- Impossible d’accéder au contenu vidéo partiel via CORS à amazon EC2
- Angular 1.5, le statut de la réponse en cas d’erreur est toujours -1
- Access-Control-Allow-Origin ne fonctionne pas avec les requêtes Backbone json, les parameters Nginx “open-open”, les en-têtes semblent corrects
- L’installation de proxy inverse nginx ne conserve pas l’identifiant de session lors des requêtes CORS
- Navigateur et réponse AJAX Les en-têtes CORS diffèrent
- En-têtes Rails3 et NginX CORS