如何绕过访问控制允许来源？

Question

我正在一个平台上对我自己的服务器进行 ajax 调用，他们设置为阻止这些 ajax 调用（但我需要它从我的服务器获取数据以显示从我的服务器数据库检索到的数据）。 我的 ajax 脚本正在运行，它可以将数据发送到我的服务器的 php 脚本以允许它处理。 但是它无法取回处理过的数据，因为它被"Access-Control-Allow-Origin"阻止了

我无法访问该平台的源代码/核心。所以我不能删除它不允许我这样做的脚本。 （P/S 我用谷歌浏览器的控制台发现了这个错误）

Ajax代码如下图：

 $.ajax({
     type: "GET",
     url: "http://example.com/retrieve.php",
     data: "id=" + id + "&url=" + url,
     dataType: 'json',   
     cache: false,
     success: function(data)
      {
        var friend = data[1];              
        var blog = data[2];           
        $('#user').html("<b>Friends: </b>"+friend+"<b><br> Blogs: </b>"+blog);

      } 
  });

或者上面的 ajax 脚本是否有 JSON 等效代码？我认为JSON 是允许的。

希望有人能帮帮我。

Answer 1

把这个放在retrieve.php之上：

header('Access-Control-Allow-Origin: *');

请注意，这会有效地禁用 CORS 保护，并使您的用户容易受到攻击。如果您不能完全确定是否需要允许所有来源，则应将其锁定到更具体的来源：

header('Access-Control-Allow-Origin: https://www.example.com');

请参考以下堆栈答案以更好地理解Access-Control-Allow-Origin

https://stackoverflow.com/a/10636765/413670

Answer 2

好的，但是你们都知道 * 是一个通配符并且允许来自每个域的跨站点脚本？

您希望为每个允许的网站发送多个 Access-Control-Allow-Origin 标头 - 但不幸的是，官方不支持发送多个 Access-Control-Allow-Origin 标头或放入多个来源。

您可以通过检查来源来解决此问题，如果允许，则在标头中发回该来源：

$origin = $_SERVER['HTTP_ORIGIN'];
$allowed_domains = [
    'http://mysite1.com',
    'https://www.mysite2.com',
    'http://www.mysite2.com',
];

if (in_array($origin, $allowed_domains)) {
    header('Access-Control-Allow-Origin: ' . $origin);
}

这样更安全。您可能想要编辑匹配并将其更改为使用一些正则表达式或类似的手动函数。至少这只会发回 1 个标头，并且您将确定它是请求来自的那个。请注意，所有 HTTP 标头都可以被欺骗，但此标头是为了保护客户端。不要用这些值保护您自己的数据。如果您想了解更多信息，请阅读有关 CORS 和 CSRF 的信息。

为什么更安全？

允许从其他位置访问，然后您自己的受信任站点允许会话劫持。我将举一个小例子——图片 Facebook 允许使用通配符来源——这意味着你可以在某个地方创建自己的网站，并让它向 facebook 发起 AJAX 调用（或打开 iframe）。这意味着您可以获取您网站访问者的 Facebook 登录信息。更糟糕的是 - 您可以编写 POST 请求并在某人的 Facebook 上发布数据 - 就在他们浏览您的网站时。

使用ACAO 标头时要非常小心！

Answer 3

警告，如果您遵循其他一些答案，Chrome（和其他浏览器）会抱怨设置了多个 ACAO 标头。

错误将类似于 XMLHttpRequest cannot load ____. The 'Access-Control-Allow-Origin' header contains multiple values '____, ____, ____', but only one is allowed. Origin '____' is therefore not allowed access.

试试这个：

$http_origin = $_SERVER['HTTP_ORIGIN'];

$allowed_domains = array(
  'http://domain1.com',
  'http://domain2.com',
);

if (in_array($http_origin, $allowed_domains))
{  
    header("Access-Control-Allow-Origin: $http_origin");
}

Answer 4

我在调用 MVC3 控制器时解决了这个问题。 我补充说：

Response.AddHeader("Access-Control-Allow-Origin", "*"); 

在我之前

return Json(model, JsonRequestBehavior.AllowGet);

而且我的 $.ajax 抱怨它在我的 ajax 调用中不接受 Content-type 标头，因此我将其注释掉，因为我知道它的 JSON 被传递给 Action。 p>

希望对您有所帮助。

Answer 5

使用* 是一个非常糟糕的主意，这会让您对跨站点脚本保持开放。您基本上一直想要自己的域，范围仅限于您当前的 SSL 设置，以及可选的其他域。您还希望它们全部作为一个标头发送。以下将始终在与当前页面相同的 SSL 范围内授权您自己的域，并且还可以选择包含任意数量的其他域。它会将它们全部作为一个标头发送，如果其他内容已经发送它们，则覆盖前一个标头，以避免浏览器抱怨发送多个访问控制标头。

class CorsAccessControl
{
    private $allowed = array();

    /**
     * Always adds your own domain with the current ssl settings.
     */
    public function __construct()
    {
        // Add your own domain, with respect to the current SSL settings.
        $this->allowed[] = 'http'
            . ( ( array_key_exists( 'HTTPS', $_SERVER )
                && $_SERVER['HTTPS'] 
                && strtolower( $_SERVER['HTTPS'] ) !== 'off' ) 
                    ? 's' 
                    : null )
            . '://' . $_SERVER['HTTP_HOST'];
    }

    /**
     * Optionally add additional domains. Each is only added one time.
     */
    public function add($domain)
    {
        if ( !in_array( $domain, $this->allowed )
        {
            $this->allowed[] = $domain;
        }
    /**
     * Send 'em all as one header so no browsers grumble about it.
     */
    public function send()
    {
        $domains = implode( ', ', $this->allowed );
        header( 'Access-Control-Allow-Origin: ' . $domains, true ); // We want to send them all as one shot, so replace should be true here.
    }
}

用法：

$cors = new CorsAccessControl();

// If you are only authorizing your own domain:
$cors->send();

// If you are authorizing multiple domains:
foreach ($domains as $domain)
{
    $cors->add($domain);
}
$cors->send();

你明白了。

Answer 6

您是否尝试过将 Access-Control-Allow-Origin 标头实际添加到服务器发送的响应中？比如Access-Control-Allow-Origin: *?