PHP rocks! wünscht allen Mitgliedern einen guten Rutsch ins neue Jahr 2017 !!!
Hinweis: Das Forum zieht um! Um keine Datenverluste zu haben, schalten wir zwecks Übernahme der Daten das Forum am Sonntag, den 24.04.2016 um ca. 21:00 Uhr offline und passen anschliessend die DNS-Einträge an.
www.php-rocks.de wird euch dann nach den Aktualisierungen der DNS-Server wieder wie gewohnt uneingeschränkt zur Verfügung stehen.
Danke für euer Verständnis!

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Wieder mal CORS/frames
#1
Möchte eine Seite im frame aufrufen:
Zitat:XMLHttpRequest cannot load api.webfan.de/api-d/4/js-api/library.js?plugin=alertify. The 'Access-Control-Allow-Origin' header has a value 'http://domainundhomepagespeicher.webfan.de' that is not equal to the supplied origin. Origin 'frdl.webfan.de' is therefore not allowed access.
my-apps.297.html:1 XMLHttpRequest cannot load api.webfan.de/api-d/4/js-api/library.js?plugin=hash. The 'Access-Control-Allow-Origin' header has a value ' domainundhomepagespeicher.webfan.de' that is not equal to the supplied origin. Origin 'frdl.webfan.de' is therefore not allowed access.

Dabei habe ich:
PHP-Code:
public static function originHeaders(){
    
header("Access-Control-Allow-Credentials: true");        
    
header("Access-Control-Allow-Origin: ".((isset($_SERVER['HTTP_ORIGIN'])) ? $_SERVER['HTTP_ORIGIN'] : "*"));
    
header("Access-Control-Allow-Headers: X-Requested-With"); 
// NUR EINSCHRÄNKUNG * GEHT NICH ! header('X-Frame-Options: ALLOW-FROM *'); */
//header('X-Frame-Options: ALLOW-FROM http://shell.frdl.de');
    //header_remove("X-Frame-Options"); 
if(isset($_SERVER['HTTP_ORIGIN'])){
    
header('X-Frame-Options: ALLOW-FROM '.$_SERVER['HTTP_ORIGIN']);
}else{
    
header_remove("X-Frame-Options"); 
}
    
header_remove("X-Frame-Options"); 
    
    
header("Vary: Origin");             
 } 
Komischerweise ging es vorher mit header_remove("X-Frame-Options"); , sollte ich die Variante mit X-Frame-Options: ALLOW-FROM verwenden?
Im Firefox funktioniert es, im Opera gibt es diesen Security error, mh?
domainundhomepagespeicher.webfan.de/cdn/application/webfan/app.html#/com.webfan.my/browse/http:~2F~2Ffrdl.webfan.de~2Fmy-apps.297.html
Antworten
#2
Scheint ein Bug!?
https://bz.apache.org/bugzilla/show_bug.cgi?id=51223
Der Fehler tritt auf beim status code 304, dies bewirkt beim Apache das KEINE Cors header gesendet werden.

Als Workaround sende ich nun einen extra-request-header und antworte darauf mit 204 statt mit 304.
Das gefällt mir gar nicht! Hat jemand eine bessere Idee?

Es gibt einen Patch für ubuntu https://bz.apache.org/bugzilla/attachment.cgi?id=27027
Ich benutze debian, habe aber i.M. keinen Plan wo ich den Patch einfügen könnte, ich finde keine entsprechende .cnf?
Antworten


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  CORS not working Till 8 11.700 17.02.2016, 13:16
Letzter Beitrag: Arne Drews

Gehe zu: