Vary: Origin 会尊重子域的差异吗?
[英]Will Vary: Origin respect subdomain differences?
问题描述
我们的 apache 配置中有一个 CORS 设置,如果源满足某个正则表达式,则Access-Control-Allow-Origin标头被写入请求的源值。 我们还将来自此端点的所有响应的标头Vary设置为Origin 。
我看到的问题是,对于仅在子域中不同的来源,浏览器仍然从缓存中检索响应。 例如,从源https://subdomain1.test.mysite.com向我们的端点发送 CORS 请求,然后从源https://subdomain2.test.mysite.com发送 CORS 请求,导致第二个请求被阻止为 Access- Control-Allow-Origin 标头仍然是https://subdomain1.test.mysite.com 。 这一定意味着它仍在从缓存中获取响应,即使来源不完全匹配。
但是,当我对不同根域的两个来源(例如https://subdomain1.test.mysite.com和 https://localhost)进行此测试时,两个请求都成功,表明它尊重Vary: Origin而没有使用之前缓存的响应。
是否知道Vary: Origin不会关心子域? 还是可能有其他问题? 如果这实际上是由共享根域引起的,那么在不完全关闭缓存的情况下专门允许https://subdomain1.test.mysite.com和https://subdomain2.test.mysite.com的解决方案是什么?
0 个解决方案
允许任何 CORS 来源 (*) 时是否应该设置“变化:来源”?
[英]Should you set 'Vary: Origin' when allowing any CORS origin (*)?
CORS 预检响应包括 Vary:Origin 和 Access-Control-Max-Age?
[英]CORS Preflight response includes Vary:Origin and Access-Control-Max-Age?
我在子域上创建的错误“ Access-Control-Allow-Origin”
[英]Error 'Access-Control-Allow-Origin' on subdomain I've created
当 OPTIONS 方法不可缓存时,为什么要在 Access-Control-Request-Method、ACRH 和 origin 上添加 Vary?
[英]Why add Vary on Access-Control-Request-Method, ACRH and origin when OPTIONS method is not cacheable?
在 Access-Control-Allow-Origin 中对子域使用通配符
[英]Using wildcard for subdomain in Access-Control-Allow-Origin
浏览器实施同源策略的方式有很大差异吗?
[英]Are there substantial differences in the way browsers implement the same-origin policy?
关于客户端安全,CORS 除了破坏同源策略之外还有什么作用吗?
[英]With respect to client side security, does CORS do anything other than subvert same-origin-policy?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
S3 CORS,始终发送 Vary: Origin
允许任何 CORS 来源 (*) 时是否应该设置“变化:来源”?
Web API控制器不遵守CORS来源
为什么不在CORS未命中设置'Vary:Origin'响应?
CORS 预检响应包括 Vary:Origin 和 Access-Control-Max-Age?
我在子域上创建的错误“ Access-Control-Allow-Origin”
当 OPTIONS 方法不可缓存时,为什么要在 Access-Control-Request-Method、ACRH 和 origin 上添加 Vary?
在 Access-Control-Allow-Origin 中对子域使用通配符
浏览器实施同源策略的方式有很大差异吗?
关于客户端安全,CORS 除了破坏同源策略之外还有什么作用吗?
相关标签