首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

chrome 76.0.3809.100 默认情况下 request 不发送 origin 了

  •  
  •   cominghome · 112 天前 · 1032 次点击
    这是一个创建于 112 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这个骚操作间接导致部分使用 origin header 做跨域匹配的站点跨域失败。比如我司的部分 nginx 设置是这样的:

    set $cors_origin "";
    if ($http_origin ~* "^https?://[0-9a-z-]+\.XXX.com$") {
        set $cors_origin $http_origin;
    }
    

    那么有没有别的在 nginx 中设置跨域的方式呢?

    修复的办法 https://support.google.com/chrome/thread/11089651?hl=en

    4 回复  |  直到 2019-08-19 12:01:18 +08:00
        1
    ochatokori   112 天前 via Android
    what?! 没有 origin 怎么判断跨域
    改得了自己的浏览器改不了客户的浏览器啊
        2
    xfcy   112 天前 via Android
    卧槽,这操作可太 x 了 (・o・)周一上班了验证下
        3
    cominghome   111 天前
    @ochatokori 不要在 nginx 等 proxy 软件中设置,在代码里设置。
    或者用别的方式比如 referer 来做正则的匹配,就是不知道会不会有别的风险。建议还是用第一个
        4
    cominghome   110 天前
    又仔细看了一下官方贴,上面的表述不准确。
    准确地说应该是,从 2019 第三季度开始,浏览器启用了不在白名单列表中的插件后,会影响到 CORS 设置。(已经验证)
    https://www.chromium.org/Home/chromium-security/extension-content-script-fetches/

    个人猜测是在最新版本 chrome 中修改了浏览器的默认行为以增强插件的 cors 防护能力,但是这个操作影响了普通的 api 请求。


    已经准备规范这一块的设置,让开发在框架中去配置 cors 了,尽量避免在 nginx 等软 proxy 中对 http header 进行操作。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   875 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 22:11 · PVG 06:11 · LAX 14:11 · JFK 17:11
    ♥ Do have faith in what you're doing.