我在多个子域名下(例如example.com、blog.example.com和app.example.com)拥有一个通用的身份验证表单。登录表单必须将数据提交到example.com,无论它在哪里显示,因此我考虑使用CORS,但是这样做:
header("Access-Control-Allow-Origin: http://example.com http://blog.example.com http://app.example.com")
因此,我考虑了下一步,在服务器端手动检查Origin标头,并允许 Access-Control-Allow-Origin: *,以便可以发出请求,但不幸的是,这在 MDN 中出现了。
重要提示:响应带凭据的请求时,服务器必须指定域,而不能使用通配符。
有没有办法在跨域请求中使用CORS发送凭据并使我的请求能够跨多个域名工作?
两点建议:
1)你是否也包括“Access-Control-Allow-Credentials: true”头?这是为了传递cookie凭据所需的(相应的XHR客户端必须设置.withCredentials = true)
2)你尝试过你链接中的建议,仅包括当前请求的来源。例如,如果一个请求带有头部“Origin:http://blog.example.com”,则响应应为“Access-Control-Allow-Origin:http://blog.example.com”,而不是一系列来源。这需要在服务器端实现上进行一些额外的工作。
3)另一个想法是,你提到你有一个必须被各个域共享的单个登录表单。好吧,如果它是一个标准的HTML表单,你可以跨域进行常规的表单提交,无需使用CORS。只需将表单的“action”属性设置为要提交到的URL即可。例如:
<form name="login" action="http://login.example.com/doLogin">
// cross domain
header("Access-Control-Allow-Origin: ".$_SERVER['HTTP_ORIGIN']);
header('Access-Control-Allow-Credentials: true');