访问-控制-允许-源语法

Question

我希望允许来自from.example.com的所有子域的跨源资源共享。因此，我将跨源资源共享头添加到subdomain1.to.example.com中的一个页面中，如下所示。

<?php header('Access-Control-Allow-Origin: *.from.example.com');

我尝试使用ajax访问页面表单subdomain1.from.example.com。我没有得到回应。因此，我只是更改了上面的标题，如下所示。

<?php header('Access-Control-Allow-Origin: http://subdomain1.from.example.com');

它只适用于subdomain1.from.example.com。

第一个标题有什么问题？

Answer 1

Access-Control-Allow-Origin头中不允许通配符。一定是完全匹配的。可以通过将值设置为*来允许所有域，或者在与允许的域匹配的情况下，有条件地回显Origin请求头的值。

请注意，用于多个源的原产地规范允许由一个空格分隔。但是，我不确定这是否适用于Access-Control-Allow-Origin头。也许值得一试。