資格情報を使用したクロス・ソース・リソースの共有

Question

複数のサブドメイン（example.com、blog.example.com、およびapp.example.com）にわたって共通の認証フォームを使用しています。ログインフォームに関係なく、それが示されているところのexample.comにこのデータを提出しなければならないので、私はCORSを使用するのではと思ったが、この：

header("Access-Control-Allow-Origin: http://example.com http://blog.example.com http://app.example.com") 

does not work

だから私は次の事をやって考えると、サーバー側で手動原点ヘッダをチェックし、要求がなされるかもしれないのでAccess-Control-Allow-Origin: *を許可するが、残念ながら、これはin the MDN

重要な注意をアップ作物：資格認定要求に応答するとき、サーバーは、ドメインを指定する必要があり、ワイルドカードを使用することはできません。

私の要求を複数のドメインで機能させる方法はありますか？それでもCORSを使用して認証情報を送信する方法はありますか？

Answer 1

つの思考：

1）あなたも含めている "とAccess-Control-Allow-Credentials：true" をヘッダ？これはCookieの資格情報を渡すために必要です（対応するXHRクライアントは.withCredentials = trueを設定する必要があります）

2）あなたのリンクからの提案を試したことがありますか？たとえば、「Origin：http://blog.example.com」というヘッダーが要求された場合は、「Access-Control-Allow-Origin：http://blog.example.com」という応答があり、起点のリストではありません。これには、サーバー側の実装でもう少し作業が必要です。

3）あなたは、さまざまなドメインで共有する必要がある単一のログインフォームがあると言います。標準のHTMLフォームの場合は、ドメイン間で定期的なフォーム投稿を行うことができます。 CORSを使用する必要はありません。投稿するURLにフォームの「アクション」プロパティを設定するだけです。たとえば：

<form name="login" action="http://login.example.com/doLogin"> 

Answer 2

// cross domain 
header("Access-Control-Allow-Origin: ".$_SERVER['HTTP_ORIGIN']); 
header('Access-Control-Allow-Credentials: true');