我需要一个脚本来通过XMLHttpRequest将信息传递到不同域中托管的请求页面。关于这个问题有很多问题和答案,但是我发现没有一个问题和答案能够完全回答我的问题。
在网上搜索使我发现我必须通过诸如
header("Access-Control-Allow-Origin: *");或的标题允许这些域
header("Access-Control-Allow-Origin: http://example.com");
由于我需要多个外部域,但是我仍然发现*它过于开放,因此进一步的研究使我想到了依赖于服务器端$_SERVER['HTTP_ORIGIN']与授权值进行比较的解决方案。(在StackOverflow上:例如,访问控制允许起源多个起源域?)
但是我$_SERVER['HTTP_ORIGIN']在php manuel(http://php.net/manual/fr/reserved.variables.server.php)中没有提及任何内容,而我的测试表明并不一定总是设置此条目。
所以我的问题是:
-何时$_SERVER['HTTP_ORIGIN']设置超全局集?
-在全球范围内可靠吗?...还是依赖于客户端浏览器?
似乎(但仅凭经验,从我的测试/ Firefox 34.0.5和ios Safari)来看,仅在“需要”(即请求实际上来自另一个域)时才进行设置。
请参阅下面的简短代码摘录,以帮助了解需要
-如果$_SERVER['HTTP_ORIGIN']未定义,则不发送头
(假设实际上不是跨域调用,应该没有任何问题);
-如果定义并且属于一个数组,则发送“ allow”头接受域。
if(isset($_SERVER['HTTP_ORIGIN'])) {// in case of cross domain ajax call
$http_origin = $_SERVER['HTTP_ORIGIN'];
if(in_array($http_origin, $ajaxAllowedDomains))
{ header("Access-Control-Allow-Origin: $http_origin"); }
}
什么是
$_SERVER['HTTP_ORIGIN']超全局集合?
当HTTP请求包含Origin标头时。当使用XMLHttpRequest进行跨域请求时,浏览器将设置一个。
在全球范围内可靠吗?
在您可能需要设置CORS响应标头的情况下。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句