使用通配符域在 nginx 中设置 Access-Control-Allow-Origin

你必须用 if 条件来做

location /  {
  set $cors "";
  if ($http_origin ~* (\.mydomain\.com|\.myseconddomain\.com)$) {
      set $cors "true";
  }

  proxy_pass http://backend:10005/apathifyouwantso/;

  if ($cors = "true") {
    add_header 'Access-Control-Allow-Origin' "$http_origin";
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, DELETE, PUT';
    add_header 'Access-Control-Allow-Credentials' 'true';
    add_header 'Access-Control-Allow-Headers' 'User-Agent,Keep-Alive,Content-Type';
  }
}

在 nginx 中根据条件设置“Access-Control-Allow-Origin”是非常危险的，你应该小心。上面的答案是打开一个安全漏洞。

if ($http_origin ~* (\.mydomain\.com|\.myseconddomain\.com)) 

此行将匹配 something.mydomain.com 和 something.mydomain.com.anyotherdomain.com（任何人都可以创建的域）

这样做，将允许出现以下情况：

1. 横幅让用户打开 something.mydomain.com.anyotherdomain.com
2. 它使用 . 向您的站点发出请求fetch。
3. 获取，可以包括凭据，这意味着您的用户 cookie。
4. 因此，攻击者可以以该用户身份向您的服务器发出请求。（例如：发送消息、电子邮件等）

所有这些，因为正则表达式末尾缺少一个“$”。

if ($http_origin ~* (\.mydomain\.com|\.myseconddomain\.com)$) 

这不是让那个特定的正则表达式变坏的唯一方法，这就是为什么我要解释这个问题，而不是仅仅在之前的答案中添加 $

你当然可以。我使用以下指令来支持我们的一些跨域字体：

  add_header Access-Control-Allow-Origin *;