অ্যাক্সেস-নিয়ন্ত্রণ-অনুমতি একাধিক মূল ডোমেন?

Access-Control-Allow-Originশিরোলেখ ব্যবহার করে একাধিক ক্রস-ডোমেনের অনুমতি দেওয়ার কোনও উপায় আছে কি ?

আমি সচেতন *, কিন্তু এটি খুব উন্মুক্ত। আমি সত্যিকার অর্থে মাত্র দু'টি ডোমেনের অনুমতি দিতে চাই।

উদাহরণ হিসাবে, এরকম কিছু:

Access-Control-Allow-Origin: http://domain1.example, http://domain2.example

আমি উপরের কোডটি চেষ্টা করেছি তবে ফায়ারফক্সে কাজ করছে বলে মনে হচ্ছে না।

একাধিক ডোমেন নির্দিষ্ট করা সম্ভব নাকি আমি কেবল একটিতে আটকে আছি?

এটি করার প্রস্তাবিত পদ্ধতির মতো মনে হচ্ছে আপনার সার্ভারটি ক্লায়েন্টের কাছ থেকে অরিজিন শিরোনামটি পড়তে পারে, তার সাথে আপনি যে ডোমেনগুলি মঞ্জুর করতে চান তার তালিকার সাথে এটি তুলনা করুন এবং যদি এটি মেলে তবে শিরোনামটির মান Originক্লায়েন্টের কাছে ফিরে আসে Access-Control-Allow-Originপ্রতিক্রিয়ায় হেডার।

সঙ্গে .htaccessআপনি এটা ভালো করতে পারেন:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch "\.(ttf|otf|eot|woff|woff2)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.example|dev02.otherdomain.example)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header merge Vary Origin
    </IfModule>
</FilesMatch>

আমি পিএইচপি-তে অন্য একটি সমাধান ব্যবহার করছি:

$http_origin = $_SERVER['HTTP_ORIGIN'];

if ($http_origin == "http://www.domain1.com" || $http_origin == "http://www.domain2.com" || $http_origin == "http://www.domain3.com")
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

এটি আমার পক্ষে কাজ করেছে:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.example|domain2\.example)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Putোকানো হলে .htaccess, এটি নিশ্চিতভাবে কাজ করবে।

আমার woff-font- তে একই সমস্যা ছিল, একাধিক সাব-ডোমেন অ্যাক্সেস করতে হয়েছিল। সাবডোমেনগুলিকে অনুমতি দেওয়ার জন্য আমি আমার httpd.conf এ এর ​​মতো কিছু যুক্ত করেছি:

SetEnvIf Origin "^(.*\.example\.com)$" ORIGIN_SUB_DOMAIN=$1
<FilesMatch "\.woff$">
    Header set Access-Control-Allow-Origin "%{ORIGIN_SUB_DOMAIN}e" env=ORIGIN_SUB_DOMAIN
</FilesMatch>

একাধিক ডোমেনের জন্য আপনি কেবলমাত্র রেজেক্সটিকে পরিবর্তন করতে পারেন SetEnvIf।

অরিজিন শিরোনামটি কীভাবে ফিরে আসে তা যদি এটি আপনার ডোমেন Nginx এর সাথে মেলে তবে এটি কার্যকর যদি আপনি কোনও ফন্ট একাধিক সাব-ডোমেন পরিবেশন করতে চান:

location /fonts {
    # this will echo back the origin header
    if ($http_origin ~ "example.org$") {
        add_header "Access-Control-Allow-Origin" $http_origin;
    }
}

আমি পিএইচপি অ্যাপ্লিকেশনটির জন্য যা করেছি তা এজেএক্স দ্বারা অনুরোধ করা হচ্ছে

$request_headers        = apache_request_headers();
$http_origin            = $request_headers['Origin'];
$allowed_http_origins   = array(
                            "http://myDumbDomain.example"   ,
                            "http://anotherDumbDomain.example"  ,
                            "http://localhost"  ,
                          );
if (in_array($http_origin, $allowed_http_origins)){  
    @header("Access-Control-Allow-Origin: " . $http_origin);
}

যদি অনুরোধের উত্সটি আমার সার্ভারের দ্বারা অনুমোদিত হয় $http_originতবে Access-Control-Allow-Originএকটি *ওয়াইল্ডকার্ড ফিরিয়ে না দিয়ে শিরোনামের মান হিসাবে নিজেকেই ফিরিয়ে দিন ।

আপনার এক্ষেত্রে অসুবিধা সম্পর্কে অবহিত হওয়া উচিত: আপনি সিডিএন-তে ফাইলগুলি আউট-সোর্স করার সাথে সাথে (বা অন্য কোনও সার্ভার যা স্ক্রিপ্টিং অনুমোদন করে না) বা যদি আপনার ফাইলগুলি কোনও প্রক্সিতে ক্যাশে হয়ে থাকে তবে 'উত্স' এর উপর ভিত্তি করে প্রতিক্রিয়া পরিবর্তন করে অনুরোধ শিরোনাম কাজ করবে না।

একাধিক ডোমেনের জন্য, আপনার .htaccess:

<IfModule mod_headers.c>
    SetEnvIf Origin "http(s)?://(www\.)?(domain1.example|domain2.example)$" AccessControlAllowOrigin=$0$1
    Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    Header set Access-Control-Allow-Credentials true
</IfModule>

Nginx ব্যবহারকারীদের একাধিক ডোমেনের জন্য CORS অনুমতি দেওয়ার জন্য। আমি @ মার্শালের উদাহরণটি পছন্দ করি যদিও তার আওয়ারগুলি কেবল একটি ডোমেনের সাথে মেলে। ডোমেনের একটি তালিকা এবং সাবডোমেনের তালিকার সাথে মেলে এই রেজেক্সটি ফন্টগুলির সাথে কাজ করা সহজ করে:

location ~* \.(?:ttf|ttc|otf|eot|woff|woff2)$ {
   if ( $http_origin ~* (https?://(.+\.)?(domain1|domain2|domain3)\.(?:me|co|com)$) ) {
      add_header "Access-Control-Allow-Origin" "$http_origin";
   }
}

এটি কেবলমাত্র "অ্যাক্সেস-কন্ট্রোল-অলজিন-অরিজিন" শিরোনামকে প্রতিধ্বনিত করবে যা প্রদত্ত ডোমেনগুলির তালিকার সাথে মেলে।

ইউআরএল পুনর্লিখনের সাথে আইআইএস 7.5+ র জন্য 2.0 মডিউল ইনস্টল করা আছে দয়া করে এই এসও উত্তরটি দেখুন

জাভা ওয়েব অ্যাপ্লিকেশনটির জন্য ইস্তেস্টগুইয়ের উত্তর ভিত্তিক একটি সমাধান এখানে।

আমি জার্সি REST 1.x ব্যবহার করছি

জার্সি REST এবং CORSResponseFilter সম্পর্কে সচেতন হতে ওয়েব.এক্সএমএল কনফিগার করুন

 <!-- Jersey REST config -->
  <servlet>    
    <servlet-name>JAX-RS Servlet</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <init-param> 
        <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
      <param-value>com.your.package.CORSResponseFilter</param-value>
    </init-param>   
    <init-param>
        <param-name>com.sun.jersey.config.property.packages</param-name>
        <param-value>com.your.package</param-value>
    </init-param>        
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>JAX-RS Servlet</servlet-name>
    <url-pattern>/ws/*</url-pattern>
  </servlet-mapping>

CORSResponseFilter এর কোড এখানে

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;


public class CORSResponseFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest request,
        ContainerResponse response) {

    String[] allowDomain = {"http://localhost:9000","https://my.domain.example"};
    Set<String> allowedOrigins = new HashSet<String>(Arrays.asList (allowDomain));                  

    String originHeader = request.getHeaderValue("Origin");

    if(allowedOrigins.contains(originHeader)) {
        response.getHttpHeaders().add("Access-Control-Allow-Origin", originHeader);

        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    return response;
}

}

উপরে উল্লিখিত হিসাবে, Access-Control-Allow-Originঅনন্য Varyহওয়া উচিত এবং সেট করা উচিতOrigin আপনি কোনও সিডিএন (সামগ্রী বিতরণ নেটওয়ার্ক) এর পিছনে থাকলে ।

আমার এনগিনেক্স কনফিগারেশনের প্রাসঙ্গিক অংশ:

if ($http_origin ~* (https?://.*\.mydomain.example(:[0-9]+)?)) {
  set $cors "true";
}
if ($cors = "true") {
  add_header 'Access-Control-Allow-Origin' "$http_origin";
  add_header 'X-Frame-Options' "ALLOW FROM $http_origin";
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Vary' 'Origin';
}

হয়তো আমি ভুল, কিন্তু যতদূর আমি দেখতে পাচ্ছি Access-Control-Allow-Originএকটি আছে"origin-list" প্যারামিটার রয়েছে।

দ্বারা সংজ্ঞা একটি origin-listহল:

origin            = "origin" ":" 1*WSP [ "null" / origin-list ]
origin-list       = serialized-origin *( 1*WSP serialized-origin )
serialized-origin = scheme "://" host [ ":" port ]
                  ; <scheme>, <host>, <port> productions from RFC3986

এবং এ থেকে, আমি যুক্তি দিচ্ছি যে বিভিন্ন উত্স ভর্তি হয়েছে এবং স্থান পৃথক করা উচিত ।

এক্সপ্রেসজেএস অ্যাপ্লিকেশনগুলির জন্য আপনি ব্যবহার করতে পারেন:

app.use((req, res, next) => {
    const corsWhitelist = [
        'https://domain1.example',
        'https://domain2.example',
        'https://domain3.example'
    ];
    if (corsWhitelist.indexOf(req.headers.origin) !== -1) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
    }

    next();
});

আমি এইচটিটিপিএস চালিত একটি ডোমেনের জন্য এটি সেট আপ করার জন্য সংগ্রাম করেছি, তাই আমি বুঝতে পেরেছি যে সমাধানটি ভাগ করে নেব। আমি আমার httpd.conf ফাইলটিতে নিম্নলিখিত নির্দেশাবলী ব্যবহার করেছি :

    <FilesMatch "\.(ttf|otf|eot|woff)$">
            SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" AccessControlAllowOrigin=$0
            Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </FilesMatch>

example.comআপনার ডোমেন নাম পরিবর্তন করুন । এই ভিতরে যোগ করুন <VirtualHost x.x.x.x:xx>আপনার httpd.conf ফাইল। লক্ষ্য করুন যে আপনার যদি VirtualHostএকটি পোর্ট প্রত্যয় (যেমন :80) থাকে তবে এই নির্দেশটি HTTPS- র ক্ষেত্রে প্রযোজ্য হবে না, সুতরাং আপনাকে / etc / apache2 / সাইটগুলি উপলব্ধ / ডিফল্ট-এসএসএল এ যেতে হবে এবং সেই ফাইলের ভিতরে একই নির্দেশিকা যুক্ত করতে হবে এর<VirtualHost _default_:443> অধ্যায়।

কনফিগার ফাইলগুলি আপডেট হয়ে গেলে, আপনাকে টার্মিনালে নিম্নলিখিত কমান্ডগুলি চালনা করতে হবে:

a2enmod headers
sudo service apache2 reload

আপনার যদি হরফের সমস্যা হয় তবে ব্যবহার করুন:

<FilesMatch "\.(ttf|ttc|otf|eot|woff)$">
    <IfModule mod_headers>
        Header set Access-Control-Allow-Origin "*"
    </IfModule>
</FilesMatch>

আরও বেশি নমনীয় পদ্ধতি হ'ল অ্যাপাচি ২.৪ এর অভিব্যক্তি ব্যবহার করা। আপনি ডোমেন, পাথ এবং প্রায় প্রতিটি অনুরোধ পরিবর্তনশীলের সাথে মিল করতে পারেন। যদিও পাঠানো প্রতিক্রিয়া সর্বদা থাকে *তবে কেবল এটির অনুরোধকারীরা হ'ল যে কোনওভাবে প্রয়োজনীয়তা পূরণ করে। ব্যবহার Origin(বা অন্য কোন) এক্সপ্রেশনে অনুরোধ শীর্ষক স্বয়ংক্রিয়ভাবে সেটিকে একত্রীকরণ এ্যাপাচি ঘটায় Vary, প্রতিক্রিয়া শীর্ষক যাতে প্রতিক্রিয়া একটি ভিন্ন উৎপত্তি জন্য পুনঃব্যবহৃত করা হবে না।

<IfModule mod_headers.c>
    <If "%{HTTP:Host} =~ /\\bcdndomain\\.example$/i && %{HTTP:Origin} =~ /\\bmaindomain\\.example$/i">
        Header set Access-Control-Allow-Origin "*"
    </If>
</IfModule>

HTTP_ORIGIN সমস্ত ব্রাউজার ব্যবহার করে না। HTTP_ORIGIN কতটা নিরাপদ? আমার জন্য এটি এফএফ খালি আসে।
আমার যে সাইটগুলিতে আমার সাইটে অ্যাক্সেসের অনুমতি দেওয়া হয়েছে সেগুলি আমার কাছে কোনও সাইট আইডি প্রেরণ করে, আমি তারপরে সেই আইডি সহ রেকর্ডের জন্য আমার ডিবি চেক করে SITE_URL কলাম মান (www.yoursite.com) পাই।

header('Access-Control-Allow-Origin: http://'.$row['SITE_URL']);

এমনকি যদি কোনও বৈধ সাইটের আইডি প্রেরণ করে তবে অনুরোধটি সেই সাইটের আইডির সাথে যুক্ত আমার ডিবিতে তালিকাভুক্ত ডোমেন থেকে হওয়া দরকার।

অ্যাপাচি-র জন্য এখানে একটি বিস্তৃত বিকল্প রয়েছে যাতে সাম্প্রতিকতম এবং পরিকল্পিত ফন্ট সংজ্ঞাগুলির কিছু রয়েছে:

<FilesMatch "\.(ttf|otf|eot|woff|woff2|sfnt|svg)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "^http(s)?://(.+\.)?(domainname1|domainname2|domainname3)\.(?:com|net|org)$" AccessControlAllowOrigin=$0$1$2
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        Header set Access-Control-Allow-Credentials true
    </IfModule>
</FilesMatch>

একটি এএসএমএক্স পরিষেবাদির জন্য একাধিক ডোমেন অ্যাক্সেসের সুবিধার্থে, আমি গ্লোবাল.এক্সএক্স ফাইলটিতে এই ফাংশনটি তৈরি করেছি:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    string CORSServices = "/account.asmx|/account2.asmx";
    if (CORSServices.IndexOf(HttpContext.Current.Request.Url.AbsolutePath) > -1)
    {
        string allowedDomains = "http://xxx.yyy.example|http://aaa.bbb.example";

        if(allowedDomains.IndexOf(HttpContext.Current.Request.Headers["Origin"]) > -1)
            HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", HttpContext.Current.Request.Headers["Origin"]);

        if(HttpContext.Current.Request.HttpMethod == "OPTIONS")
            HttpContext.Current.Response.End();
    }
}

এটি OPTIONSক্রিয়াটিও CORS পরিচালনা করার জন্য অনুমতি দেয় ।

সাবডোমেনগুলির সাথে মিলে যাওয়ার জন্য পিএইচপি কোড উদাহরণ।

if( preg_match("/http:\/\/(.*?)\.yourdomain.example/", $_SERVER['HTTP_ORIGIN'], $matches )) {
        $theMatch = $matches[0];
        header('Access-Control-Allow-Origin: ' . $theMatch);
}

নেট অ্যাপ্লিকেশনগুলির জন্য মোটামুটি সহজ অনুলিপি / পেস্টের জন্য, আমি কোনও global.asaxফাইলের মধ্যে থেকে সিওআরএস সক্ষম করতে এটি লিখেছিলাম । এই কোডটি বর্তমানে গৃহীত উত্তরে প্রদত্ত পরামর্শ অনুসরণ করে, প্রতিক্রিয়াটির অনুরোধে যা কিছু উত্স ফিরে এসেছে তা প্রতিফলিত করে। এটি কার্যকরভাবে এটি ব্যবহার না করে '*' অর্জন করে।

এর কারণ হ'ল এটি 'উইথসিডেন্টিয়ালস' বৈশিষ্ট্যটি 'সত্য' এ সেট করে একটি এজেএক্স এক্সএমএলএইচটিপিআরকোস্ট পাঠানোর ক্ষমতা সহ একাধিক অন্যান্য সিওআরএস বৈশিষ্ট্য সক্ষম করে।

void Application_BeginRequest(object sender, EventArgs e)
{
    if (Request.HttpMethod == "OPTIONS")
    {
        Response.AddHeader("Access-Control-Allow-Methods", "GET, POST");
        Response.AddHeader("Access-Control-Allow-Headers", "Content-Type, Accept");
        Response.AddHeader("Access-Control-Max-Age", "1728000");
        Response.End();
    }
    else
    {
        Response.AddHeader("Access-Control-Allow-Credentials", "true");

        if (Request.Headers["Origin"] != null)
            Response.AddHeader("Access-Control-Allow-Origin" , Request.Headers["Origin"]);
        else
            Response.AddHeader("Access-Control-Allow-Origin" , "*");
    }
}

পিএইচপি কোড:

$httpOrigin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;
if (in_array($httpOrigin, [
    'http://localhost:9000', // Co-worker dev-server
    'http://127.0.0.1:9001', // My dev-server
])) header("Access-Control-Allow-Origin: ${httpOrigin}");
header('Access-Control-Allow-Credentials: true');

এবং জ্যাঙ্গোর আরও একটি উত্তর। একক দর্শনটি একাধিক ডোমেন থেকে সিওআরএসকে অনুমতি দেয়, এখানে আমার কোডটি রয়েছে:

def my_view(request):
    if 'HTTP_ORIGIN' in request.META.keys() and request.META['HTTP_ORIGIN'] in ['http://allowed-unsecure-domain.com', 'https://allowed-secure-domain.com', ...]:
        response = my_view_response() # Create your desired response data: JsonResponse, HttpResponse...
        # Then add CORS headers for access from delivery
        response["Access-Control-Allow-Origin"] = request.META['HTTP_ORIGIN']
        response["Access-Control-Allow-Methods"] = "GET" # "GET, POST, PUT, DELETE, OPTIONS, HEAD"
        response["Access-Control-Max-Age"] = "1000"  
        response["Access-Control-Allow-Headers"] = "*"  
        return response

এডাব্লুএস ল্যাম্বদা / এপিআই গেটওয়ে

সার্ভারলেস এডাব্লুএস ল্যাম্বদা এবং এপিআই গেটওয়েতে একাধিক উত্স কীভাবে কনফিগার করা যায় সে সম্পর্কিত তথ্যের জন্য - যে কোনও ব্যক্তির মনে হবে যে এটির জন্য সহজ সমাধান হওয়া উচিত তার জন্য একটি বৃহত্তর সমাধান - এখানে দেখুন:

https://stackoverflow.com/a/41708323/1624933

বর্তমানে এপিআই গেটওয়েতে একাধিক উত্স কনফিগার করা সম্ভব নয়, এখানে দেখুন: https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors-console.html ), তবে প্রস্তাবটি (এতে উপরের উত্তর) হ'ল:

• ব্রাউজার দ্বারা প্রেরিত অরিজিন শিরোনামটি পরীক্ষা করুন
• উত্সের শ্বেত তালিকার বিরুদ্ধে এটি পরীক্ষা করুন
• যদি এটি মেলে, আগত অরিজিনটিকে অ্যাক্সেস-নিয়ন্ত্রণ-মঞ্জুরি-অরিজিনের শিরোনাম হিসাবে ফিরিয়ে দিন, অন্যথায় কোনও স্থানধারক (ডিফল্ট উত্স) ফিরিয়ে দিন।

সহজ সমাধানটি অবশ্যই সমস্ত (*) এর মতো করে সক্ষম করে:

exports.handler = async (event) => {
    const response = {
        statusCode: 200,
        headers: {
            "Access-Control-Allow-Origin": "*",
            "Access-Control-Allow-Credentials" : true // Required for cookies, authorization headers with HTTPS
        },
        body: JSON.stringify([{

তবে এটি API গেটওয়ে সাইডে করা ভাল (উপরের ২ য় লিঙ্কটি দেখুন)।

এসএসএল এবং আরএফসিতে ব্যাকরণের মাধ্যমে বিজ্ঞাপন সরবরাহ করার ক্ষেত্রে গুগলের সমর্থন উত্তরগুলি মনে হয় যে আপনি ইউআরএল স্থান পরিবর্তন করতে পারবেন। এটি বিভিন্ন ব্রাউজারে কতটা সমর্থিত তা নিশ্চিত নয়।

আপনি যদি আমার মতো অনেক কোড উদাহরণ ব্যবহার করে এটি সিওআরএস ব্যবহার করে কাজ করার চেষ্টা করেন তবে এটি উল্লেখ করা দরকার যে আপনার ক্যাশেটি আসলে কাজ করে কিনা তা চেষ্টা করার জন্য আপনাকে প্রথমে সাফ করতে হবে, পুরানো চিত্রগুলি এখনও উপস্থিত থাকলে যেমন ইস্যুগুলির সাথে সমতুল্য সার্ভারে মুছে ফেলা হয়েছে (কারণ এটি এখনও আপনার ক্যাশে সংরক্ষণ করা হয়েছে)।

উদাহরণ স্বরূপ CTRL + SHIFT + DELগুগল ক্রোমে আপনার ক্যাশে মোছার জন্য।

অনেক খাঁটি .htaccessসমাধান চেষ্টা করার পরে এটি আমাকে এই কোডটি ব্যবহার করতে সহায়তা করেছিল এবং এটি কেবলমাত্র একমাত্র কাজ করছে (অন্তত আমার জন্য):

    Header add Access-Control-Allow-Origin "http://google.com"
    Header add Access-Control-Allow-Headers "authorization, origin, user-token, x-requested-with, content-type"
    Header add Access-Control-Allow-Methods "PUT, GET, POST, DELETE, OPTIONS"

    <FilesMatch "\.(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www\.)?(google.com|staging.google.com|development.google.com|otherdomain.com|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

এছাড়াও নোট করুন যে এটি ব্যাপকভাবে ছড়িয়ে গেছে যে অনেকগুলি সমাধান বলে যে আপনাকে টাইপ করতে Header set ...হবে তবে তা Header add ...। আশা করি এটি আমার মতো এখন কয়েক ঘন্টা একই সমস্যায় পড়তে সহায়তা করবে।

নীচে উত্তরটি সি # এর সাথে নির্দিষ্ট, তবে ধারণাটি সমস্ত বিভিন্ন প্ল্যাটফর্মের ক্ষেত্রে প্রযোজ্য applicable

কোনও ওয়েব এপিআই থেকে ক্রস অরিজিন অনুরোধগুলিকে অনুমতি দেওয়ার জন্য আপনাকে আপনার অ্যাপ্লিকেশনটিতে অপশন অনুরোধগুলি মঞ্জুরি করতে হবে এবং নিয়ামক স্তরে নীচে টীকা যুক্ত করতে হবে।

[এ্যাবলিবলকর্স (আরলস্ট্রিং, শিরোলেখ, পদ্ধতি)] এখন উত্সগুলি কেবল স্ট্রিং হিসাবে পাস করা যেতে পারে। সুতরাং আপনি যদি অনুরোধে একাধিক ইউআরএল পাস করতে চান তবে এটিকে কমা বিচ্ছিন্ন মান হিসাবে পাস করুন।

আরআল স্ট্রিং = " https: //a.hello.com,https: //b.hello.com "

অ্যাক্সেস-নিয়ন্ত্রণ-মঞ্জুরি-উত্স শিরোনামের জন্য কেবল একটি একক উত্স নির্দিষ্ট করা যেতে পারে। তবে আপনি অনুরোধ অনুযায়ী আপনার প্রতিক্রিয়াতে মূলটি সেট করতে পারেন। ভেরি শিরোনাম সেট করতে ভুলবেন না। পিএইচপি-তে আমি নিম্নলিখিতগুলি করব:

    /**
     * Enable CORS for the passed origins.
     * Adds the Access-Control-Allow-Origin header to the response with the origin that matched the one in the request.
     * @param array $origins
     * @return string|null returns the matched origin or null
     */
    function allowOrigins($origins)
    {
        $val = $_SERVER['HTTP_ORIGIN'] ?? null;
        if (in_array($val, $origins, true)) {
            header('Access-Control-Allow-Origin: '.$val);
            header('Vary: Origin');

            return $val;
        }

        return null;
    }

  if (allowOrigins(['http://localhost', 'https://localhost'])) {
      echo your response here, e.g. token
  }

আমরা এএসপিএন অ্যাপ্লিকেশনটির জন্য গ্লোবাল.অ্যাস্যাক্স ফাইলটিতে এটি সেট করতে পারি।

protected void Application_BeginRequest(object sender, EventArgs e)
    {

    // enable CORS
    HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "https://www.youtube.com");

    }