как обойти Access-Control-Allow-Origin?

Question

как обойти Access-Control-Allow-Origin?

172

Я делаю вызов ajax на свой собственный сервер на платформе, которую они устанавливают, предотвращая эти вызовы ajax (но мне нужно, чтобы они извлекали данные с моего сервера, чтобы отображать извлеченные данные из моей базы данных сервера). Мой ajax script работает, он может отправить данные на мой сервер PHP скрипт, чтобы он мог обрабатывать. Однако он не может вернуть обработанные данные, поскольку он заблокирован "Access-Control-Allow-Origin"

У меня нет доступа к этому источнику/ядру платформы. поэтому я не могу удалить script, чтобы он не разрешал мне это делать. (P/S я использовал консоль Google Chrome и обнаружил эту ошибку)

Код Ajax, как показано ниже:

 $.ajax({
     type: "GET",
     url: "http://example.com/retrieve.php",
     data: "id=" + id + "&url=" + url,
     dataType: 'json',   
     cache: false,
     success: function(data)
      {
        var friend = data[1];              
        var blog = data[2];           
        $('#user').html("<b>Friends: </b>"+friend+"<b><br> Blogs: </b>"+blog);

      } 
  });

или существует эквивалентный код JSON для ajax script выше? Я думаю, что JSON разрешено.

Я надеюсь, что кто-то может мне помочь.

ETAN 27 сен. 2011, в 06:05

Источник

0

Во всех ответах на ваш вопрос пока объясняется, как переписать код вашего сервера, чтобы вы работали с AJAX. Ни один из них не касается обхода, как вы конкретно задали в своем вопросе. Вы нашли способ обойти этот заголовок? Я действительно сомневаюсь, что будет один.
Moradnejad 09 фев. 2017, в 11:50

Теги:

php

javascript

jquery

ajax

json

cors

7 ответов

265

Хорошо, но вы все знаете, что * является подстановочным знаком и позволяет выполнять межсайтовый скриптинг для каждого домена?

Вы хотели бы отправить несколько заголовков Access-Control-Allow-Origin для каждого сайта, который разрешил - но, к сожалению, официально не поддерживается отправка нескольких заголовков Access-Control-Allow-Origin или для размещения нескольких источников.

Вы можете решить это, проверив источник и отправив его обратно в заголовок, если это разрешено:

$origin = $_SERVER['HTTP_ORIGIN'];
$allowed_domains = [
    'http://mysite1.com',
    'https://www.mysite2.com',
    'http://www.mysite2.com',
];

if (in_array($origin, $allowed_domains)) {
    header('Access-Control-Allow-Origin: ' . $origin);
}

Это намного безопаснее. Вы можете отредактировать соответствие и изменить его на ручную функцию с некоторым регулярным выражением или чем-то в этом роде. По крайней мере, это отправит только 1 заголовок, и вы будете уверены, что это тот, из которого пришел запрос. Обратите внимание, что все заголовки HTTP могут быть подделаны, но этот заголовок предназначен для защиты клиента. Не защищайте свои собственные данные этими значениями. Если вы хотите узнать больше, прочитайте немного о CORS и CSRF.

Почему это безопаснее?

Если разрешить доступ из других мест, то ваш собственный доверенный сайт позволяет перехватывать сессии. Я собираюсь привести небольшой пример - изображение Facebook допускает использование подстановочного знака - это означает, что вы можете создать свой собственный сайт где-нибудь и заставить его запускать AJAX-вызовы (или открывать iframes) на Facebook. Это означает, что вы можете получить информацию о посетителе вашего сайта в Facebook. Еще хуже - вы можете POST сценарии POST запросов и публиковать данные на ком-то Facebook - только когда они просматривают ваш сайт.

Будьте очень осторожны при использовании заголовков ACAO !

Rob Quist 13 июнь 2013, в 23:41

11

Я думаю, вам нужно поставить http: // перед каждым элементом в списке. По крайней мере, я сделал для одного сайта, над которым я работал.
blak3r 18 июнь 2013, в 10:17
2

К сожалению, это не похоже на работу. Я считаю, что только одно исключение может быть предоставлено для каждого вызова header ().
lewsid 18 июнь 2013, в 17:29
5

@Shanimal & lewsid -> Я думаю, что разделенная запятыми не работает на самом деле. Ссылка: w3.org/TR/cors
Rob Quist 25 июнь 2013, в 08:13
3

Для работы со списком доменов здесь уместен ответ: stackoverflow.com/a/1850482/766177
Valentin Despa 10 июль 2013, в 13:28
0

Если мне нужен частичный домен, можно использовать Access-Control-Allow-Origin: http:*.mysite1.com ?
Rafael 01 окт. 2013, в 14:42
2

@Rafael, да, это так. Это подстановочные знаки всех поддоменов на mysite1.com.
Rob Quist 06 янв. 2014, в 20:48
0

Теперь это будет работать. Скажем, запрос исходит от mysite1.com . Вы получите ошибку, что заголовок содержит mysite2.com .
reggie 23 апр. 2015, в 08:42
0

хорошо, если я хочу использовать API из мобильного приложения, что я могу ввести вместо URL?
philx_x 26 янв. 2016, в 08:05
0

Вам нужно будет проверить, откуда поступил запрос. Если вы действительно хотите использовать API с мобильного устройства, вам следует разрешить почти все источники, но проводить много сеансов, проверяя себя (проверьте oAuth2, там много информации на что для разработки мобильных приложений и на стороне сервера)
Rob Quist 26 янв. 2016, в 13:13
0

Что если я хочу иметь сервис для мобильного приложения, каким будет домен для приложения?
Jose Rojas 29 фев. 2016, в 15:03
0

@RobQuist Rob, Как этого добиться, если я напрямую получаю доступ к медиа-файлу с моего сайта, скажем, example.com/mp3/sample.mp3, чем внутри исходного файла ??
Jenson M John 02 апр. 2016, в 08:58
0

Если вы добавите более 1 заголовка, любой запрос приведет к недействительности. Источник w3c - допустим только 1 заголовок с 1 источником.
DanFromGermany 16 июнь 2016, в 15:04
13

Это бессмысленно добавлять 4 заголовка, потому что каждый вызов header() заменяет предыдущий заголовок того же типа. Так что на самом деле все, что вы делаете, это устанавливаете последний заголовок. Ручная запись гласит, что вы можете установить второй параметр false чтобы предотвратить перезапись предыдущего заголовка.
BadHorsie 21 июнь 2016, в 16:28
0

Это ложный ответ, в этом случае должен работать только последний заголовок.
Vahe Galstyan 17 нояб. 2016, в 09:05
0

Вы правы BadHorsie & Ваге Галстян. Я обновил ответ, чтобы прояснить ситуацию.
Rob Quist 17 нояб. 2016, в 13:46
0

Что если вы внедряете API, который должен быть доступен для всех, как вы справляетесь с этим?
Vladimir Nul 27 янв. 2017, в 12:46
0

@VladimirNul Тогда вы можете добавить подстановочный знак.
Rob Quist 27 янв. 2017, в 13:01
0

@RobQuist Я знаю, вопрос был риторическим;)
Vladimir Nul 27 янв. 2017, в 13:05
0

Трудно увидеть сарказм в куче писем;) Ура!
Rob Quist 27 янв. 2017, в 15:46
0

Google Chrome не позволяет использовать несколько доменов. В консоли вы получите сообщение об ошибке: «Заголовок« Access-Control-Allow-Origin »содержит несколько значений« xxx, xxx, xxx », но разрешено только одно. Поэтому для источника« xxx »доступ запрещен. "
A Friend 29 март 2018, в 08:47
0

Повторяя @Jesus комментарий выше. Это не работает как решение для нескольких доменов.
Louis W 04 июль 2018, в 17:55
0

@LouisW Вы можете использовать $_SERVER['HTTP_REFERER'] для сопоставления и затем вернуть правильный заголовок. Отправка нескольких заголовков может не работать сейчас.
Rob Quist 06 июль 2018, в 12:17

Показать ещё 20 комментариев

27

Предупреждение. Chrome (и другие браузеры) будут жаловаться на то, что несколько заголовков ACAO будут установлены, если вы выполните некоторые другие ответы.

Ошибка будет выглядеть как XMLHttpRequest cannot load ____. The 'Access-Control-Allow-Origin' header contains multiple values '____, ____, ____', but only one is allowed. Origin '____' is therefore not allowed access.

Попробуйте следующее:

$http_origin = $_SERVER['HTTP_ORIGIN'];

$allowed_domains = array(
  'http://domain1.com',
  'http://domain2.com',
);

if (in_array($http_origin, $allowed_domains))
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

user3638471 10 янв. 2017, в 13:55

4

Это еще лучшее решение, которое я выложил.
Rob Quist 10 нояб. 2017, в 12:00

7

Я исправил эту проблему при вызове MVC3 Controller. Я добавил:

Response.AddHeader("Access-Control-Allow-Origin", "*");

до моего

return Json(model, JsonRequestBehavior.AllowGet);

И также мой $.ajax жаловался, что он не принимает заголовок Content-type в моем вызове ajax, поэтому я прокомментировал его, поскольку я знаю, что его JSON передается Action.

Надеюсь, что это поможет.

Atif Rehman 18 март 2012, в 23:13

5

лучше всего было бы разрешить отдельные домены, будьте осторожны с http://:

     header('Access-Control-Allow-Origin: http://www.foo.com', false);
     header('Access-Control-Allow-Origin: http://www.foo2.com', false));

Sebastian Viereck 18 апр. 2014, в 11:00

3

Обязательно добавьте второй аргумент в header() и установите для него значение false , в противном случае второй заголовок заменит первый: header('Access-Control-Allow-Origin: http://www.foo.com', false);
Jisse Reitsma 15 май 2016, в 11:52
0

хороший момент, обновил мой ответ
Sebastian Viereck 16 май 2016, в 08:26
3

Если вы добавите более 1 заголовка, любой запрос приведет к недействительности. Источник w3c - допустим только 1 заголовок с 1 источником.
DanFromGermany 16 июнь 2016, в 15:03
3

ОТВЕТ НЕПРАВИЛЬНЫЙ: я пробовал с двумя доменами в заголовке, один запрашивающий (реальный) домен, другой - другой тестовый домен, а @DanFromGermany прав, вот ответ в консоли chrome: XMLHttpRequest не может загрузить DataOnOutsidedomain.com/xhr.php , 'Access-Control-Allow-Origin' заголовок содержит несколько значений ' RequestingDomain.com , SomeOtherDomain.com ', но только один допускается. Поэтому для источника ' RequestingDomain.com ' доступ запрещен.
Tarik 28 авг. 2016, в 14:11

Показать ещё 2 комментария

3

Вы пытались добавить заголовок Access-Control-Allow-Origin в ответ, отправленный с вашего сервера? Например, Access-Control-Allow-Origin: *?

Daniel Brockman 27 сен. 2011, в 06:30

1

можешь привести пример? Спасибо
ETAN 27 сен. 2011, в 06:09
1

Это HTTP-заголовок, который ваш сервер отправляет, чтобы сообщить браузеру, что можно сообщить результат вызывающему сценарию, несмотря на тот факт, что исходный домен сценария не соответствует домену сервера. Читайте о совместном использовании ресурсов !
Daniel Brockman 27 сен. 2011, в 06:11

0

Это действительно плохая идея использовать *, что делает вас широко открытым для межсайтового скриптинга. По сути, вам все время нужен собственный домен, ограниченный вашими текущими настройками SSL и, возможно, дополнительными доменами. Вы также хотите, чтобы они были отправлены одним заголовком. Следующее всегда авторизует ваш собственный домен в той же области действия SSL, что и текущая страница, и может дополнительно включать любое количество дополнительных доменов. Он отправит их все в виде одного заголовка и перезапишет предыдущие (ие), если что-то еще уже отправлено им, чтобы избежать каких-либо шансов, что браузер ворчит по поводу отправляемых заголовков с несколькими элементами управления доступом.

class CorsAccessControl
{
    private $allowed = array();

    /**
     * Always adds your own domain with the current ssl settings.
     */
    public function __construct()
    {
        // Add your own domain, with respect to the current SSL settings.
        $this->allowed[] = 'http'
            . ( ( array_key_exists( 'HTTPS', $_SERVER )
                && $_SERVER['HTTPS'] 
                && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) 
                    ? 's' 
                    : null )
            . '://' . $_SERVER['HTTP_HOST'];
    }

    /**
     * Optionally add additional domains. Each is only added one time.
     */
    public function add($domain)
    {
        if ( !in_array( $domain, $this->allowed )
        {
            $this->allowed[] = $domain;
        }
    /**
     * Send 'em all as one header so no browsers grumble about it.
     */
    public function send()
    {
        $domains = implode( ', ', $this->allowed );
        header( 'Access-Control-Allow-Origin: ' . $domains, true ); // We want to send them all as one shot, so replace should be true here.
    }
}

Использование:

$cors = new CorsAccessControl();

// If you are only authorizing your own domain:
$cors->send();

// If you are authorizing multiple domains:
foreach ($domains as $domain)
{
    $cors->add($domain);
}
$cors->send();

Вы поняли идею.

mopsyd 23 апр. 2018, в 01:59

Ещё вопросы

Во всех ответах на ваш вопрос пока объясняется, как переписать код вашего сервера, чтобы вы работали с AJAX. Ни один из них не касается обхода, как вы конкретно задали в своем вопросе. Вы нашли способ обойти этот заголовок? Я действительно сомневаюсь, что будет один.
Я думаю, вам нужно поставить http: // перед каждым элементом в списке. По крайней мере, я сделал для одного сайта, над которым я работал.
К сожалению, это не похоже на работу. Я считаю, что только одно исключение может быть предоставлено для каждого вызова header ().
@Shanimal & lewsid -> Я думаю, что разделенная запятыми не работает на самом деле. Ссылка: w3.org/TR/cors
Для работы со списком доменов здесь уместен ответ: stackoverflow.com/a/1850482/766177
Если мне нужен частичный домен, можно использовать Access-Control-Allow-Origin: http:*.mysite1.com ?
@Rafael, да, это так. Это подстановочные знаки всех поддоменов на mysite1.com.
Теперь это будет работать. Скажем, запрос исходит от mysite1.com . Вы получите ошибку, что заголовок содержит mysite2.com .
хорошо, если я хочу использовать API из мобильного приложения, что я могу ввести вместо URL?
Вам нужно будет проверить, откуда поступил запрос. Если вы действительно хотите использовать API с мобильного устройства, вам следует разрешить почти все источники, но проводить много сеансов, проверяя себя (проверьте oAuth2, там много информации на что для разработки мобильных приложений и на стороне сервера)
Что если я хочу иметь сервис для мобильного приложения, каким будет домен для приложения?
@RobQuist Rob, Как этого добиться, если я напрямую получаю доступ к медиа-файлу с моего сайта, скажем, example.com/mp3/sample.mp3, чем внутри исходного файла ??
Если вы добавите более 1 заголовка, любой запрос приведет к недействительности. Источник w3c - допустим только 1 заголовок с 1 источником.
Это бессмысленно добавлять 4 заголовка, потому что каждый вызов header() заменяет предыдущий заголовок того же типа. Так что на самом деле все, что вы делаете, это устанавливаете последний заголовок. Ручная запись гласит, что вы можете установить второй параметр false чтобы предотвратить перезапись предыдущего заголовка.
Это ложный ответ, в этом случае должен работать только последний заголовок.
Вы правы BadHorsie & Ваге Галстян. Я обновил ответ, чтобы прояснить ситуацию.
Что если вы внедряете API, который должен быть доступен для всех, как вы справляетесь с этим?
@VladimirNul Тогда вы можете добавить подстановочный знак.
@RobQuist Я знаю, вопрос был риторическим;)
Трудно увидеть сарказм в куче писем;) Ура!
Google Chrome не позволяет использовать несколько доменов. В консоли вы получите сообщение об ошибке: «Заголовок« Access-Control-Allow-Origin »содержит несколько значений« xxx, xxx, xxx », но разрешено только одно. Поэтому для источника« xxx »доступ запрещен. "
Повторяя @Jesus комментарий выше. Это не работает как решение для нескольких доменов.
@LouisW Вы можете использовать $_SERVER['HTTP_REFERER'] для сопоставления и затем вернуть правильный заголовок. Отправка нескольких заголовков может не работать сейчас.
Это еще лучшее решение, которое я выложил.
Обязательно добавьте второй аргумент в header() и установите для него значение false , в противном случае второй заголовок заменит первый: header('Access-Control-Allow-Origin: http://www.foo.com', false);
хороший момент, обновил мой ответ
Если вы добавите более 1 заголовка, любой запрос приведет к недействительности. Источник w3c - допустим только 1 заголовок с 1 источником.
ОТВЕТ НЕПРАВИЛЬНЫЙ: я пробовал с двумя доменами в заголовке, один запрашивающий (реальный) домен, другой - другой тестовый домен, а @DanFromGermany прав, вот ответ в консоли chrome: XMLHttpRequest не может загрузить DataOnOutsidedomain.com/xhr.php , 'Access-Control-Allow-Origin' заголовок содержит несколько значений ' RequestingDomain.com , SomeOtherDomain.com ', но только один допускается. Поэтому для источника ' RequestingDomain.com ' доступ запрещен.
Это HTTP-заголовок, который ваш сервер отправляет, чтобы сообщить браузеру, что можно сообщить результат вызывающему сценарию, несмотря на тот факт, что исходный домен сценария не соответствует домену сервера. Читайте о совместном использовании ресурсов !

Rafay · Accepted Answer · 2011-09-27T06-26-00.000Z

335

Лучший ответ

поместите его поверх файла retrieve.php

 header('Access-Control-Allow-Origin: *');

Важно отметить, что header() должен быть вызван до отправки любого фактического вывода.

Неверно

<html>
<?php
header('Access-Control-Allow-Origin: *'); 
?>

Правильно

<?php
header('Access-Control-Allow-Origin: *'); 
?>
<html>

Rafay 27 сен. 2011, в 06:26

51

Это довольно небезопасно. Проверьте мой ответ внизу.
Rob Quist 25 июнь 2013, в 08:09
3

tnx, но вы не должны разрешать доступ ко всем источникам, как упомянуто @RobQuist в его комментарии, и в его ответе представлен лучший подход
Rafay 13 дек. 2013, в 17:37
2

Так что я нашел эту страницу, потому что мне нужно было «обойти» контроль доступа на сервере. Решение здесь не обходит ничего, а просто правильно настраивает контроль доступа на своем собственном сервере. Если кому-то действительно нужно обойти это, они могут использовать PHP file_get_contents ($ remote_url) ;. Очевидно, есть много способов сделать это, но я так и сделал.
Shawn Whinnery 05 март 2014, в 23:39
1

@ShawnWhinnery, это в основном акт "проксирования". Хорошее решение, если вы действительно хотите динамически загружать данные с другого сайта, который вы не можете контролировать.
Rob Quist 29 фев. 2016, в 16:27
0

не работал .....
jairhumberto 30 сен. 2017, в 20:31
0

что именно не работает @jairhumberto какие-либо ошибки на консоли браузера? или на стороне сервера? как выглядит ваш код?
Rafay 30 сен. 2017, в 23:25
0

Нет, ничего. просто ничего не происходит, как будто кода не было даже там. Я просто пытаюсь сделать AJAX-запрос к другому файлу домена, который имеет в качестве первой строки заголовок, установленный с помощью функции заголовка
jairhumberto 01 окт. 2017, в 03:34
1

хотел запустить PHP скрипт из ядра dotnet - переместил php скрипт на другой мой URL, но получал ошибку межсайтового скриптинга. добавил код, который вы показали, в начало PHP и работал отлично. Спасибо!
raddevus 21 апр. 2018, в 16:36
0

Это плохая практика и оставляет вас широко открытыми для межсайтового скриптинга. Вы в значительной степени хотите, чтобы ваш собственный домен был разрешен по умолчанию. Ответ, который вы действительно хотите, header('Access-Control-Allow-Origin: ' . 'http' . ( ( array_key_exists( 'HTTPS', $_SERVER ) && $_SERVER['HTTPS'] && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) ? 's' : null ) . '://' . $_SERVER['HTTP_HOST'] ); : header('Access-Control-Allow-Origin: ' . 'http' . ( ( array_key_exists( 'HTTPS', $_SERVER ) && $_SERVER['HTTPS'] && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) ? 's' : null ) . '://' . $_SERVER['HTTP_HOST'] );
mopsyd 23 апр. 2018, в 00:55
0

Это позволяет разрешить собственный домен и учитывать текущие настройки SSL на вашем сервере. Если вы хотите добавить доступ к дополнительным доменам, просто добавьте еще один заголовок Access-Control-Allow-Origin для каждого дополнительного домена.
mopsyd 23 апр. 2018, в 00:57

Показать ещё 8 комментариев