这个骚操作间接导致部分使用 origin header 做跨域匹配的站点跨域失败。比如我司的部分 nginx 设置是这样的:
set $cors_origin "";
if ($http_origin ~* "^https?://[0-9a-z-]+\.XXX.com$") {
set $cors_origin $http_origin;
}
那么有没有别的在 nginx 中设置跨域的方式呢?
修复的办法 https://support.google.com/chrome/thread/11089651?hl=en
 |
1
ochatokori Aug 17, 2019 via Android
what?! 没有 origin 怎么判断跨域
改得了自己的浏览器改不了客户的浏览器啊 |
 |
2
xfcy Aug 18, 2019 via Android
卧槽,这操作可太 x 了 (・o・)周一上班了验证下
|
 |
3
cominghome OP @ochatokori 不要在 nginx 等 proxy 软件中设置,在代码里设置。
或者用别的方式比如 referer 来做正则的匹配,就是不知道会不会有别的风险。建议还是用第一个 |
|
4
cominghome OP 又仔细看了一下官方贴,上面的表述不准确。
准确地说应该是,从 2019 第三季度开始,浏览器启用了不在白名单列表中的插件后,会影响到 CORS 设置。(已经验证) https://www.chromium.org/Home/chromium-security/extension-content-script-fetches/ 个人猜测是在最新版本 chrome 中修改了浏览器的默认行为以增强插件的 cors 防护能力,但是这个操作影响了普通的 api 请求。 已经准备规范这一块的设置,让开发在框架中去配置 cors 了,尽量避免在 nginx 等软 proxy 中对 http header 进行操作。 |
Select Language