CORS는 하위 도메인 보고 정보에서 js window.onerror를 방지합니다.

tag-icon tag-icon nginx http-headers javascript cors
CORS는 하위 도메인 보고 정보에서 js window.onerror를 방지합니다.

Javascript 오류를 기록하기 위해 ajax 요청을 트리거하고 스크립트 오류에 대해 알려주는 window.onerror 기능을 설정했습니다. 하위 도메인에서 모든 정적 파일을 로드하고 기본 도메인 외부의 파일에서 오류가 발생하면 CORS가 정보 유출로 인해 정보를 삭제하는 것 같습니다... https://developer.mozilla.org/en-US/docs/Web/API/GlobalEventHandlers/onerror#notes

Access-Control-Allow-Origin을 다음과 같이 설정하여 문제를 해결하려고 했습니다.

add_header Access-Control-Allow-Origin https://static.example.com;

그러나 성공하지 못했습니다.

내 하위 도메인은 기본 도메인과 함께 Access-Control-Allow-Origin도 제공합니다.

문서 헤더:

Request URL: https://www.example.com/de/kontaktformular.html
Request Method: GET
Status Code: 200 
Remote Address: XXX
Referrer Policy: strict-origin-when-cross-origin
access-control-allow-origin: https://static.example.com
cache-control: no-store, no-cache, must-revalidate
content-encoding: br
content-security-policy: ...
content-type: text/html; charset=UTF-8
date: Tue, 10 Aug 2021 10:21:35 GMT
expect-ct: enforce,max-age=30
expires: Thu, 19 Nov 1981 08:52:00 GMT
pragma: no-cache
referrer-policy: same-origin
server: nginx
strict-transport-security: max-age=15768000; includeSubDomains
vary: Accept-Encoding
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
:authority: www.example.com
:method: GET
:path: /de/kontaktformular.html
:scheme: https
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
accept-encoding: gzip, deflate, br
accept-language: de-IT,de;q=0.9,en-US;q=0.8,en;q=0.7,de-DE;q=0.6
cache-control: no-cache
cookie: __Host-PHPSESSID=k2284o6ejliq4t9113bicbv5tr; cookie_alert=1; cart=MjMtLC03OC0sLTF8fDU1LSwtMTI3LSwtMXx8NTUtLC0xMjgtLC0x
pragma: no-cache
referer: https://www.example.com/de/XXX.html
sec-ch-ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92"
sec-ch-ua-mobile: ?0
sec-fetch-dest: document
sec-fetch-mode: navigate
sec-fetch-site: same-origin
sec-fetch-user: ?1
upgrade-insecure-requests: 1
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

하위 도메인에서 제공되는 Js 파일의 헤더:

Request URL: https://static.example.com/jquery_scripts.128.js
Request Method: GET
Status Code: 200 
Remote Address: XXX
Referrer Policy: same-origin
access-control-allow-origin: https://www.example.com
cache-control: public, max-age=31536000, s-maxage=31536000
content-encoding: gzip
content-type: text/javascript;charset=UTF-8
date: Tue, 10 Aug 2021 10:21:35 GMT
expires: Wed, 10 Aug 2022 10:21:35 GMT
last-modified: Tue, 10 Aug 2021 09:38:16 GMT
server: nginx
strict-transport-security: max-age=15768000; includeSubDomains
vary: Accept-Encoding
x-content-type-options: nosniff
:authority: static.example.com
:method: GET
:path: /jquery_scripts.128.js
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: de-IT,de;q=0.9,en-US;q=0.8,en;q=0.7,de-DE;q=0.6
cache-control: no-cache
pragma: no-cache
sec-ch-ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92"
sec-ch-ua-mobile: ?0
sec-fetch-dest: script
sec-fetch-mode: no-cors
sec-fetch-site: same-site
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36

답변1

에서동일한 문서:

서버가 Access-Control-Allow-Origin명시적 출처 값("*" 와일드카드가 아님)으로 응답을 보내는 경우 응답에는 다음도 포함되어야 합니다.달라지다Origin 값이 있는 응답 헤더 — Origin 요청 헤더 값에 따라 서버 응답이 다를 수 있음을 브라우저에 나타냅니다.

Access-Control-Allow-Origin: https://developer.mozilla.org
Vary: Origin

관련 정보