Как обойти Access-Control-Allow-Origin?

Question

Как обойти Access-Control-Allow-Origin?

Я делаю ajax-вызов своему собственному серверу на платформе, которую они установили, чтобы предотвратить эти ajax-вызовы (но мне нужно, чтобы получить данные с моего сервера, чтобы отобразить извлеченные данные из базы данных моего сервера). Мой ajax-скрипт работает, он может отправлять данные в php-скрипт моего сервера, чтобы он мог обрабатываться. Однако он не может получить обработанные данные обратно, так как он заблокирован "Access-Control-Allow-Origin"

У меня нет доступа к источнику / ядру этой платформы. поэтому я не могу удалить сценарий, который запрещает мне это делать. (P/S I использовал консоль Google Chrome и обнаружил эту ошибку)

Код Ajax, как показано ниже:

 $.ajax({
     type: "GET",
     url: "http://example.com/retrieve.php",
     data: "id=" + id + "&url=" + url,
     dataType: 'json',   
     cache: false,
     success: function(data)
      {
        var friend = data[1];              
        var blog = data[2];           
        $('#user').html("<b>Friends: </b>"+friend+"<b><br> Blogs: </b>"+blog);

      } 
  });

или есть JSON эквивалентный код скрипту ajax выше? Я думаю JSON позволено.

Я надеюсь, что кто-то может мне помочь.

237

javascript php jquery json ajax

Источник

user804516 27 сен '11 в 06:03

7 ответов

Решение

Хорошо, но вы все знаете, что * является подстановочным знаком и позволяет выполнять межсайтовый скриптинг из каждого домена?

Вы хотели бы отправить несколько Access-Control-Allow-Origin заголовки для каждого сайта, который разрешен - но, к сожалению, его официально не поддерживается для отправки нескольких Access-Control-Allow-Origin Заголовки, или положить в нескольких источниках.

Вы можете решить это, проверив источник и отправив его обратно в заголовок, если это разрешено:

$origin = $_SERVER['HTTP_ORIGIN'];
$allowed_domains = [
    'http://mysite1.com',
    'https://www.mysite2.com',
    'http://www.mysite2.com',
];

if (in_array($origin, $allowed_domains)) {
    header('Access-Control-Allow-Origin: ' . $origin);
}

Это намного безопаснее. Вы можете отредактировать соответствие и изменить его на ручную функцию с некоторым регулярным выражением или чем-то в этом роде. По крайней мере, это только отправит обратно 1 заголовок, и вы будете уверены, что это тот, из которого пришел запрос. Обратите внимание, что все HTTP-заголовки могут быть подделаны, но этот заголовок защищает клиента. Не защищайте свои собственные данные этими значениями. Если вы хотите узнать больше, прочитайте немного о CORS и CSRF.

Почему это безопаснее?

Если разрешить доступ из других мест, то ваш собственный доверенный сайт позволяет перехватывать сессии. Я собираюсь привести небольшой пример - изображение Facebook допускает использование подстановочного знака - это означает, что вы можете создать свой собственный веб-сайт и запускать вызовы AJAX (или открывать фреймы) на Facebook. Это означает, что вы можете получить информацию о посетителе вашего сайта в Facebook. Еще хуже - вы можете сценарий POST запросы и размещать данные на чей-то Facebook - только когда они просматривают ваш сайт.

Будьте очень осторожны при использовании ACAO заголовки!

319

Источник

user1493455 13 июн '13 в 22:25

Предупреждение, Chrome (и другие браузеры) будет жаловаться на то, что установлены несколько заголовков ACAO, если вы будете следовать некоторым другим ответам.

Ошибка будет что-то вроде XMLHttpRequest cannot load ____. The 'Access-Control-Allow-Origin' header contains multiple values '____, ____, ____', but only one is allowed. Origin '____' is therefore not allowed access.

Попробуй это:

$http_origin = $_SERVER['HTTP_ORIGIN'];

$allowed_domains = array(
  'http://domain1.com',
  'http://domain2.com',
);

if (in_array($http_origin, $allowed_domains))
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

46

Источник

10 янв '17 в 12:00

Я исправил эту проблему при вызове контроллера MVC3. Я добавил:

Response.AddHeader("Access-Control-Allow-Origin", "*");

до моего

return Json(model, JsonRequestBehavior.AllowGet);

А также мой $.ajax жаловался, что он не принимает заголовок Content-type в моем вызове ajax, поэтому я закомментировал его, поскольку знаю, что его JSON передается в Action.

Надеюсь, это поможет.

7

Источник

user1272015 18 мар '12 в 22:18

Лучше всего было бы разрешить отдельные домены, будьте осторожны с http://:

     header('Access-Control-Allow-Origin: http://www.foo.com', false);
     header('Access-Control-Allow-Origin: http://www.foo2.com', false));

5

Источник

user1714171 18 апр '14 в 10:19

Это действительно плохая идея использовать *, который оставляет вас широко открытыми для межсайтового скриптинга. По сути, вам все время нужен собственный домен, ограниченный вашими текущими настройками SSL и, возможно, дополнительными доменами. Вы также хотите, чтобы все они были отправлены одним заголовком. Следующее всегда авторизует ваш собственный домен в той же области SSL, что и текущая страница, и может также включать любое количество дополнительных доменов. Он отправит их все в виде одного заголовка и перезапишет предыдущие (ие), если что-то еще уже отправлено им, чтобы избежать каких-либо шансов, что браузер ворчит по поводу отправляемых заголовков с несколькими элементами управления доступом.

class CorsAccessControl
{
    private $allowed = array();

    /**
     * Always adds your own domain with the current ssl settings.
     */
    public function __construct()
    {
        // Add your own domain, with respect to the current SSL settings.
        $this->allowed[] = 'http'
            . ( ( array_key_exists( 'HTTPS', $_SERVER )
                && $_SERVER['HTTPS'] 
                && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) 
                    ? 's' 
                    : null )
            . '://' . $_SERVER['HTTP_HOST'];
    }

    /**
     * Optionally add additional domains. Each is only added one time.
     */
    public function add($domain)
    {
        if ( !in_array( $domain, $this->allowed )
        {
            $this->allowed[] = $domain;
        }
    /**
     * Send 'em all as one header so no browsers grumble about it.
     */
    public function send()
    {
        $domains = implode( ', ', $this->allowed );
        header( 'Access-Control-Allow-Origin: ' . $domains, true ); // We want to send them all as one shot, so replace should be true here.
    }
}

Использование:

$cors = new CorsAccessControl();

// If you are only authorizing your own domain:
$cors->send();

// If you are authorizing multiple domains:
foreach ($domains as $domain)
{
    $cors->add($domain);
}
$cors->send();

Вы поняли идею.

4

Источник

user1288121 23 апр '18 в 01:10

Вы пытались добавить заголовок Access-Control-Allow-Origin к ответу, отправленному с вашего сервера? Подобно, Access-Control-Allow-Origin: *?

3

Источник

user133732 27 сен '11 в 06:07

Если вы тестируете с localhost, вы также можете использовать:
header('Access-Control-Allow-Origin: http://localhost:8080', false); где 8080 - это порт, который вы тестируете.

0

Источник

user5127346 15 июл '18 в 15:57

Другие вопросы по тегам javascript php jquery json ajax

user413670 27 сен '11 в 06:12 2011-09-27 06:12 · Accepted Answer · 2011-09-27 06:12

Положить его поверх retrieve.php

 header('Access-Control-Allow-Origin: *');

Важно отметить, что header() должен быть вызван перед отправкой любого фактического вывода.

Неправильно

<html>
<?php
header('Access-Control-Allow-Origin: *'); 
?>

Правильный

<?php
header('Access-Control-Allow-Origin: *'); 
?>
<html>

423

Источник

user413670 27 сен '11 в 06:12