使用凭证进行跨域资源共享

Question

我有一个跨多个子域（example.com、blog.example.com 和 app.example.com）的通用身份验证表单。登录表单必须将此数据提交到 example.com，无论它显示在哪里，所以我想到了使用 CORS，但是这样：

header("Access-Control-Allow-Origin: http://example.com http://blog.example.com http://app.example.com")

does not work

所以我想做下一件事，在服务器端手动检查 Origin 标头，并允许Access-Control-Allow-Origin: * 以便可以发出请求，但不幸的是，这突然出现了in the MDN

重要提示：在响应凭据请求时，服务器必须指定域，并且不能使用通配符。

有什么方法可以让我的请求跨多个域工作，并且仍然使用 CORS 发送凭据？

Answer 1

// cross domain
header("Access-Control-Allow-Origin: ".$_SERVER['HTTP_ORIGIN']);
header('Access-Control-Allow-Credentials: true');

Answer 2

两个想法：

1) 您是否还包括“Access-Control-Allow-Credentials: true”标头？这是传递 cookie 凭据所必需的（并且相应的 XHR 客户端必须设置 .withCredentials = true）

2) 您是否尝试过链接中的建议，并且仅包含当前请求的来源。例如，如果请求带有标头“Origin：http://blog.example.com”，您将响应“Access-Control-Allow-Origin：http://blog.example.com”，而不是来源列表。这需要在您的服务器端实现上做更多的工作。

3) 另一种想法是，您提到您有一个必须由各个域共享的登录表单。好吧，如果它是一个标准的 HTML 表单，您可以跨域进行常规的表单发布。您不需要使用 CORS。只需将表单的“action”属性设置为您希望发布到的 url。例如：

<form name="login" action="http://login.example.com/doLogin">