V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cominghome
V2EX  ›  分享发现

chrome 76.0.3809.100 默认情况下 request 不发送 origin 了

  •  
  •   cominghome · 2019-08-17 18:07:19 +08:00 · 2196 次点击
    这是一个创建于 1685 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这个骚操作间接导致部分使用 origin header 做跨域匹配的站点跨域失败。比如我司的部分 nginx 设置是这样的:

    set $cors_origin "";
    if ($http_origin ~* "^https?://[0-9a-z-]+\.XXX.com$") {
        set $cors_origin $http_origin;
    }
    

    那么有没有别的在 nginx 中设置跨域的方式呢?

    修复的办法 https://support.google.com/chrome/thread/11089651?hl=en

    4 条回复    2019-08-19 12:01:18 +08:00
    ochatokori
        1
    ochatokori  
       2019-08-17 18:13:46 +08:00 via Android
    what?! 没有 origin 怎么判断跨域
    改得了自己的浏览器改不了客户的浏览器啊
    xfcy
        2
    xfcy  
       2019-08-18 00:14:40 +08:00 via Android
    卧槽,这操作可太 x 了 (・o・)周一上班了验证下
    cominghome
        3
    cominghome  
    OP
       2019-08-18 17:56:11 +08:00
    @ochatokori 不要在 nginx 等 proxy 软件中设置,在代码里设置。
    或者用别的方式比如 referer 来做正则的匹配,就是不知道会不会有别的风险。建议还是用第一个
    cominghome
        4
    cominghome  
    OP
       2019-08-19 12:01:18 +08:00
    又仔细看了一下官方贴,上面的表述不准确。
    准确地说应该是,从 2019 第三季度开始,浏览器启用了不在白名单列表中的插件后,会影响到 CORS 设置。(已经验证)
    https://www.chromium.org/Home/chromium-security/extension-content-script-fetches/

    个人猜测是在最新版本 chrome 中修改了浏览器的默认行为以增强插件的 cors 防护能力,但是这个操作影响了普通的 api 请求。


    已经准备规范这一块的设置,让开发在框架中去配置 cors 了,尽量避免在 nginx 等软 proxy 中对 http header 进行操作。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2704 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:35 · PVG 23:35 · LAX 08:35 · JFK 11:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.