Existe uma maneira de permitir vários domínios cruzados usando o Access-Control-Allow-Origin
cabeçalho?
Estou ciente do *
, mas é muito aberto. Eu realmente quero permitir apenas alguns domínios.
Como exemplo, algo como isto:
Access-Control-Allow-Origin: http://domain1.example, http://domain2.example
Eu tentei o código acima, mas ele não parece funcionar no Firefox.
É possível especificar vários domínios ou estou com apenas um?
Access-Control-Allow-Origin
cabeçalho não significa que outros domínios não possam acionar um método nesse nó de extremidade (por exemplo, método da API REST). Significa apenas que origens não permitidas não podem usar o resultado em javascript (o navegador garante isso). Para restringir o acesso a um nó de extremidade para domínios específicos, use um filtro de solicitação do servidor que, por exemplo, retorne HTTP 401 para domínios não permitidos.
Vary: Origin
cabeçalho quando você quiser usar vários URLs, consulte: fetch.spec.whatwg.org/#cors-protocol-and-http-caches