chrome 76.0.3809.100 默认情况下 request 不发送 origin 了

2019-08-17 18:07:19 +08:00
 cominghome

这个骚操作间接导致部分使用 origin header 做跨域匹配的站点跨域失败。比如我司的部分 nginx 设置是这样的:

set $cors_origin "";
if ($http_origin ~* "^https?://[0-9a-z-]+\.XXX.com$") {
    set $cors_origin $http_origin;
}

那么有没有别的在 nginx 中设置跨域的方式呢?

修复的办法 https://support.google.com/chrome/thread/11089651?hl=en

2215 次点击
所在节点    分享发现
4 条回复
ochatokori
2019-08-17 18:13:46 +08:00
what?! 没有 origin 怎么判断跨域
改得了自己的浏览器改不了客户的浏览器啊
xfcy
2019-08-18 00:14:40 +08:00
卧槽,这操作可太 x 了 (・o・)周一上班了验证下
cominghome
2019-08-18 17:56:11 +08:00
@ochatokori 不要在 nginx 等 proxy 软件中设置,在代码里设置。
或者用别的方式比如 referer 来做正则的匹配,就是不知道会不会有别的风险。建议还是用第一个
cominghome
2019-08-19 12:01:18 +08:00
又仔细看了一下官方贴,上面的表述不准确。
准确地说应该是,从 2019 第三季度开始,浏览器启用了不在白名单列表中的插件后,会影响到 CORS 设置。(已经验证)
https://www.chromium.org/Home/chromium-security/extension-content-script-fetches/

个人猜测是在最新版本 chrome 中修改了浏览器的默认行为以增强插件的 cors 防护能力,但是这个操作影响了普通的 api 请求。


已经准备规范这一块的设置,让开发在框架中去配置 cors 了,尽量避免在 nginx 等软 proxy 中对 http header 进行操作。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/592736

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX