Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
时间: 2023-12-07 13:39:37 浏览: 130
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨域资源共享)中的两个重要概念。其中Access-Control-Allow-Origin用于指定哪些源可以访问资源,而Access-Control-Allow-Credentials则用于指定是否允许发送cookie等凭据信息。
如果想让https://evilwww.bilibili.com这个源可以访问资源并接受真正的后缀源(www.example.com 信任 evilexample.com),可以在服务器端设置如下的响应头:
```python
response.headers['Access-Control-Allow-Origin'] = 'https://evilwww.bilibili.com'
response.headers['Access-Control-Allow-Credentials'] = 'true'
```
这样就可以实现跨域访问并发送cookie等凭据信息了。
相关问题
Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨源资源共享)的两个重要响应头。前者指定了哪些源站可以访问该资源,后者指定了是否允许发送Cookie等凭据信息。如果Access-Control-Allow-Credentials的值为true,则Access-Control-Allow-Origin不能为*,必须指定具体的源站。
如果想让https://evilwww.bilibili.com这个源站可以访问该资源,并且接受真正的后缀源(www.example.com 信任 evilexample.com),可以在响应头中添加如下内容:
```nginx
add_header 'Access-Control-Allow-Origin' 'https://evilwww.bilibili.com';
add_header 'Access-Control-Allow-Credentials' 'true';
```
需要注意的是,如果源站不是https://evilwww.bilibili.com,那么访问该资源时会被浏览器拦截。如果需要允许其他源站访问该资源,可以在Access-Control-Allow-Origin中添加多个源站,用逗号隔开。
阅读全文