Cors Filter - 允许所有子域

时间:2014-11-26 11:16:33

标签: java spring cross-domain cors

我希望我的CorsFilter能够做到以下几点:

// populating the header required for CORS
response.addHeader(
           "Access-Control-Allow-Origin",
           "https://*.myDomain.com");

整个想法是允许以下域名发出请求: sub1.myDomain.com, sub2.myDomain.com, sub3.myDomain.com .... sub100.myDomain.com

这对我不起作用。我怎样才能做到这一点?我试过了:

response.addHeader(
           "Access-Control-Allow-Origin",
           "*.myDomain.com");

也没有成功。

3 个答案:

答案 0 :(得分:14)

我有类似的问题,答案是肯定的。

这是我的解决方案(根据原始标题处理Access-Control-Allow-Origin)

<强> 1。解析来自“来源”的主持人。头 

    // origin
    String origin = request.getHeader("Origin");

    URL originUrl = null;
    try {
        originUrl = new URL(origin);
    } catch (MalformedURLException ex) {
    }

    // originUrl.getHost() -> Return the host need to be verified

<强> 2。检查originUrl.getHost() 

    // Allow myDomain.com
    // Or anySubDomain.myDomain.com
    // Or subSub.anySubDomain.myDomain.com

    // hostAllowedPattern 
    Pattern hostAllowedPattern = Pattern.compile("(.+\\.)*myDomain\\.com", Pattern.CASE_INSENSITIVE);

    // Allow host?
    if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
        response.addHeader("Access-Control-Allow-Origin", origin);

    } else {
        // Throw 403 status OR send default allow
        response.addHeader("Access-Control-Allow-Origin", "https://my_domain.com");
    }

第3。结果 

    // If 'origin': https://sub1.myDomain.com  --> Matched
    Access-Control-Allow-Origin: https://sub1.myDomain.com

    // If 'origin': https://sub2.myDomain.com   --> Matched
    Access-Control-Allow-Origin: https://sub2.myDomain.com

    // If 'origin': https://notAllowDomain.com   --> Not Matched
    Access-Control-Allow-Origin: https://my_domain.com

<强> 4。其他: 

    You need to verify scheme & port too.

答案 1 :(得分:8)

您不能,它是完整的域名,null或全部:*

像规范说: http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

答案 2 :(得分:1)

Spring's CorsConfiguration现在直接支持此用例。

修改docs example以匹配您的问题,可能是:

::ng-deep .mat-checkbox-inner-container {
  margin-right: 0 !important;

值得注意的是,这样的通配符仍然不是CORS标准的一部分。取而代之的是,这是一个Spring机制,用于在模式中基于 返回符合CORS的标头值。

例如如果您现在从 @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOriginPatterns(Arrays.asList("https://*.myDomain.com")); configuration.setAllowedMethods(Arrays.asList("GET","POST")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } 拨打电话,则响应将包含标题Origin=https://subdomain.myDomain.com

相关问题
最新问题