为什么这个简单的 CORS GET 失败了？

Question

我有一个运行 apache 的服务器。 .htaccess 包含以下内容：

<IfModule mod_headers.c>
  <FilesMatch "\.(eot|ttf|otf|woff|css)$">
    Header add Access-Control-Allow-Origin "*"
  </FilesMatch>
</IfModule>

为什么会这样

$.get('https://www.sarahlawrence.edu/_assets/v6/fonts/otama-text-regular/otamatextregular.eot')`

有效（在任何域的控制台中尝试），而

$.get('https://www.sarahlawrence.edu/_assets/v6/lib/icons.data.svg.css')

失败并出现此错误：

XMLHttpRequest 无法加载 https://www.sarahlawrence.edu/_assets/v6/lib/icons.data.svg.css。请求的资源上不存在“Access-Control-Allow-Origin”标头。 Origin 'https://whatever.com' 因此不允许访问。

我怎样才能让它工作？

Answer 1

可以使用 curl 确认缺少的 Header：

 curl -v https://www.sarahlawrence.edu/_assets/v6/fonts/otama-text-regular/otamatextregular.eot > delme.txt

 curl -v https://www.sarahlawrence.edu/_assets/v6/lib/icons.data.svg.css > delme.txt

正则表达式应该对文件名感到满意，所以我认为问题是因为 apache 配置中的某处存在冲突配置。 另一项诊断检查是将失败的文件复制到字体目录并检查标题是否存在 - 这将确认正则表达式或文件名不是问题，但表明它与目录配置相关。

您已声明文档根目录或子目录中没有其他 .htaccess 文件（这可能会导致问题），并且该文件仅在没有标题的情况下提供。

我在这个阶段的感觉是，这可能与你的 mod_pagespeed 有关，它对 lib/icons 禁用。它甚至可以归结为加载模块的顺序。

为了以防万一，我会先重新启动你的 apache。应禁用其间的任何缓存或代理基础设施。接下来我将禁用 mod_pagespeed 并查看问题是否仍然存在。

我还会检查您的 httpd.conf 或虚拟主机配置中是否有类似的配置块，因为这可能会捕获一些目录而不是其他目录，并且您的 .htaccess 不是做预期的事情。作为进一步检查，我将尝试删除或临时重命名 .htaccess（更改为 htaccess-removed 或类似名称）以确认不再包含 URL 请求标头，使用 curl 或其他方法验证 CORS 标头。

可能不相关，但我要检查的另一件事是文件和目录的权限和所有权 - 值得一提以防万一。

还值得检查有关重新启动 apache 和发出请求的错误日志，因为这可能会提供进一步的信息。

Answer 2

.htaccess 文件的完整路径是什么？

您的.htaccess 文件未设置为将其规则应用于https://www.sarahlawrence.edu/_assets/v6/lib/ 位置中的文件，或者在其他地方有另一个规则取代了您上面显示的规则。