Access-Control-Allow-Origin:https://www.so.com
时间: 2024-03-17 18:39:14 浏览: 35
Access-Control-Allow-Origin是一个HTTP响应头,用于指定允许访问资源的域。它用于解决跨域资源共享(CORS)的问题。当浏览器发起跨域请求时,服务器会返回Access-Control-Allow-Origin头,告诉浏览器哪些域可以访问该资源。
具体来说,Access-Control-Allow-Origin头可以有以下几种取值:
1. "*":表示允许任意域访问资源,但不包括携带凭证(如Cookie)的请求。
2. 具体域名:表示只允许指定的域名访问资源。
3. null:表示不允许任何域名访问资源。
在你提到的例子中,Access-Control-Allow-Origin:https://www.so.com表示只允许https://www.so.com这个域名访问资源。
相关问题
Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨源资源共享)的两个重要响应头。前者指定了哪些源站可以访问该资源,后者指定了是否允许发送Cookie等凭据信息。如果Access-Control-Allow-Credentials的值为true,则Access-Control-Allow-Origin不能为*,必须指定具体的源站。
如果想让https://evilwww.bilibili.com这个源站可以访问该资源,并且接受真正的后缀源(www.example.com 信任 evilexample.com),可以在响应头中添加如下内容:
```nginx
add_header 'Access-Control-Allow-Origin' 'https://evilwww.bilibili.com';
add_header 'Access-Control-Allow-Credentials' 'true';
```
需要注意的是,如果源站不是https://evilwww.bilibili.com,那么访问该资源时会被浏览器拦截。如果需要允许其他源站访问该资源,可以在Access-Control-Allow-Origin中添加多个源站,用逗号隔开。
Access-Control-Allow-Origin:https://evilwww.bilibili.com Access-Control-Allow-Credentials:接受真正的后缀源(www.example.com 信任 evilexample.com)
Access-Control-Allow-Origin和Access-Control-Allow-Credentials是CORS(跨域资源共享)中的两个重要概念。其中Access-Control-Allow-Origin用于指定哪些源可以访问资源,而Access-Control-Allow-Credentials则用于指定是否允许发送cookie等凭据信息。
如果想让https://evilwww.bilibili.com这个源可以访问资源并接受真正的后缀源(www.example.com 信任 evilexample.com),可以在服务器端设置如下的响应头:
```python
response.headers['Access-Control-Allow-Origin'] = 'https://evilwww.bilibili.com'
response.headers['Access-Control-Allow-Credentials'] = 'true'
```
这样就可以实现跨域访问并发送cookie等凭据信息了。