此问题在此处已有答案:
Which server needs to return Access-Control-Allow-Origin header?(2个答案)
12天前关闭
假设有一个应用程序的url域为https://srcdomain.com,另一个应用程序的url域为https://destdomain.com。
如果其他应用程序必须与源应用程序集成,并允许从srcdomainapp(框架内)访问destdomain应用程序,则必须在哪个应用程序中添加cors头?下面的配置将添加到srcdomain应用程序或destdomain应用程序的httpd.conf文件中?
SetEnvIf Origin“https://(srcdomain| destdomain.com)$”控制允许起源=$0标头始终设置控制允许起源%{控制允许起源}e
没有本地设置来复制问题。需要输入此查询。
1条答案
按热度按时间t30tvxxf1#
我认为你是越来越混淆,因为你使用的术语“源”和“目的地”,这通常意味着从一个地方到另一个地方的东西。
正确的术语应该是“提供者”和“消费者”。提供者是通过API提供某些功能的服务,消费者是使用API消费提供者数据的服务。
最简单的示例是在不同的域上具有BE API服务和FE App:
是提供者限制对其资源的访问(或者,出于安全原因,存在默认限制,如CORS限制)。
在我的示例中,后端API服务将需要添加所需的HEADERS,以允许来自
app.anotherdomain.com的请求,或者指定一个扩展名并允许来自任何域的请求。您应该阅读更多关于这些限制的信息:
另外,请确保您检查此答案:Why are iframes considered dangerous and a security risk?