2. 程式人生 > >PHP 設定多域名允許跨域訪問

PHP 設定多域名允許跨域訪問

阿新 發佈:2018-11-23

跨域是Web開發中常見的問題,解決跨域的方法也有很多。本文以CORS(跨域資源訪問)方式和大家一起來了解一下針對PHP語言,如何設定允許多域名訪問。

首先,我們還需要對一些基礎知識有了解。

(1)伺服器變數

    針對PHP語言而言,伺服器變數儲存在$_SERVER陣列中,在這個陣列中有一個特殊的鍵值:HTTP_ORIGIN。這個鍵只在跨域的時候才會存在值,同源時為空字串。

(2)響應頭設定允許某域名訪問:access-control-allow-origin

   通過PHP的header函式可以設定允許某域名跨域訪問,形式為header('access_control_allow_origin:*')。

OK,下面直接上程式碼

$allow_origin = array(
    'a.baidu.com',
    'b.baidu.com',
);
$origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '';  //跨域訪問的時候才會存在此欄位
if (in_array($origin, $allow_origin)) {
    header('Access-Control-Allow-Origin:' . $origin);
} else {
    return;
}

note:

有一點要特別注意:通過介面工具請求介面時$_SERVER['HTTP_ORIGIN']變數也為空字串,如果你的服務外網可以訪問,那你一定要注意了。

 

================20181107 更新===============

背景:

11月2號服務上線,上線之後發現郵件組裡收到了一些亂七八糟的郵件而且資料庫裡也插入了一些亂碼的資料。可以判定,後端服務被攻擊了。

追查:

檢視線上機器日誌,發現日誌中記錄的來源域名均為空,之前做的策略無效。後端Web Server是Nginx,在經過外網到內網流量排程、接入層轉發之後,業務中無法取到$_SERVER['HTTP_ORIGIN']變數。

解決:

針對這種情況,想了以後幾種解決方案:

(1)在Nginx中配置跨域

(2)做郵箱(手機號)驗證碼校驗

(3)前端做拖圖校驗

第一種方案實踐不可行,不知道是不是配置的問題,不起作用。

第三種方案需要使用到PHP的GD庫、redis快取以及開發量大,也棄用。

經過與PM FE UE商定,最終採用手機號進行驗證碼校驗。

經過兩天的開發、測試、上線,目前線上尚未發現之前的攻擊問題。

 

note:後端服務介面不可能完全避免被刷,可做的就是增加黑客的攻擊成本。

相關推薦

PHP 設定域名允許訪問

跨域是Web開發中常見的問題,解決跨域的方法也有很多。本文以CORS(跨域資源訪問)方式和大家一起來了解一下針對PHP語言,如何設定允許多域名訪問。 首先,我們還需要對一些基礎知識有了解。 (1)伺服器變數     針對PHP語言而言,伺服器變數儲存在$_SERV

設定瀏覽器允許訪問

快捷方式,目標該問 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-web-security --user-data-dir 或 C:\Users\zz

spring boot 伺服器端設定允許訪問

import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.H

controller 允許訪問

class control server under text ext service rest -c 1.在controller 上加上 @CrossOrigin(origins = {"http://localhost:7777", "http://someserver

通過設定ie的通過訪問資料來源,來訪問本地服務

1、首先設定通過域訪問資料來源 設定通過域訪問資料來源 2、javascript指令碼ajax使用本地服務登入(評價,人證的類似)介面 <html> <head> <script type="text/javascript"> f

springboot配置允許訪問

因springboot框架通常用於前後端分離專案,因此需配置後臺允許跨域訪問(具體看註釋),配置類如下,將該類加入工程中即可。 import org.springframework.context.annotation.Bean; import org.springframework.conte

spring boot允許訪問

package com.test.springboot.config; import org.springframework.context.annotation.Bean; import org.s

Nginx允許訪問的配置問題

如今前後端分離的模式,越來越成為很多團隊的選擇,通過分離前後端的工作,是的雙方更能關注於自己核心的工作領域,只需要通過相應的API介面進行互動。 前後端工作的分離帶來的一個問題就是前後端在部署上分離的可能性,在部署上的分離又會觸發瀏覽器安全機制——同源策略,從而導致不能訪

nginx允許訪問

1瀏覽器是禁止跨域訪問: 不安全,容易造成csrf攻擊: 使用者訪問正常網站,被其他網站劫持,返回帶有訪問這個網站的請求,帶著cookie去訪問這個網站。 nginx: Acc

nginx配置靜態資源允許訪問

在server模組中新增配置: add_header 'Access-Control-Allow-Origin' '*'; 例: server { listen

nginx配置允許訪問

1、對外提供的查詢訂單資訊介面需要支援跨域訪問: if ($http_origin ~* ((http|https)?://.*\.aa\.(com|hk)$)) { add_header 'Ac

ajax 後臺允許訪問

public class AjaxFilter implements Filter { @Override public void destroy() { } @Override public v

SpringBoot之過濾器配置允許訪問

跨域請求 當一個資源從與該資源本身所在的伺服器不同的域或埠請求一個資源時,資源會發起一個跨域 HTTP 請求。 出於安全原因,瀏覽器限制從指令碼內發起的跨源HTTP請求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 這意味著使用這些

PHP 解決子域名請求問題

PHP 解決子域名跨域問題 介面位置加上如下程式碼即可 $origin = isset($_SERVER['HTTP_ORIGIN'])? $_SERVER['HTTP_ORIGIN'] : ''; if (preg_match('/http\:\/\/([

JavaWeb專案允許訪問

跨域訪問 跨域是指從一個域名的網頁去請求另一個域名的資源。 跨域的嚴格一點的定義是:只要 協議,域名,埠有任何一個的不同,就被當作是跨域訪問。 瀏覽器限制跨域訪問,為什麼?  為了安全我們

配置maven jetty 外掛允許訪問

新增依賴jar,版本由使用jetty版本決定 <dependency> <groupId>org.eclipse.jetty</groupId> <artifactId>jetty-servlets</artifac

Nginx 允許域名訪問

允許下面三個域名http://www.123admin.com、http://m.123admin.com、http://wap.123admin.com 進行跨域訪問 map $http_origin $corsHost { default 0; "~http://www.123admin

PHP介面允許ajax訪問設定方法

背景       H5開發中使用ajax呼叫資料介面, 如果介面檔案不在同域名下會提示跨域錯誤(No 'Access-Control-Allow-Origin' header is present on the requested resource.)。解決方法       

php設定指定域名訪問

########### <?php header("Access-Control-Allow-Origin:http://a.com"); //設定允許a.com發起的跨域請求

php後端控制可域名,允許圖片上傳

跨域問題經常需要面對,前端需要做的比較直接 要麼選擇ajax非同步提交,XML或者jsonp,要麼表單提交 jsonp基本可以搞定大部分跨域問題,但問題也比較明顯,只能通過get方式提交 並且jsonp是通過把引數拼到URL上提交請求的 但是所有瀏覽器有URL長