Comment configurer correctement nginx Access-Control-Allow-Origin dans l'en-tête de réponse basé sur L'en-tête D'origine de la requête?

en utilisant if peut parfois casser d'autres config comme try_files. Vous pouvez vous retrouver avec une erreur 404.

utilisez map à la place de

map $http_origin $cors_header {
    default "";
    "~^https?://[^/]+\.example\.com(:[0-9]+)?$" "$http_origin";
}

server {
    ...
    location / {
        add_header Access-Control-Allow-Origin $cors_header;
        try_files $uri $uri/ /index.php;
    }
    ...
 }

Si c'est le mal

j'utilise moi-même, et c'est la ligne dans mon Nginx configuration:

add_header 'Access-Control-Allow-Origin' "$http_origin";

définit un en-tête pour autoriser l'origine de la requête comme seule origine autorisée. Donc, d'où que vous veniez est le seul endroit autorisé. Donc, il ne devrait pas être très différent de permettre"*", mais il semble plus spécifique du point de vue du navigateur.

en outre, vous pouvez utiliser la logique conditionnelle dans votre configuration Nginx pour spécifier une liste blanche de noms d'hôtes à permettre. Voici un exemple de https://gist.github.com/Ry4an/6195025

if ($http_origin ~* (whitelist\.address\.one|whitelist\.address\.two)$) {
  add_header Access-Control-Allow-Origin "$http_origin";
}

j'ai l'intention d'essayer cette technique sur mon propre serveur pour blanchir les domaines autorisés.