Reactjs 如果请求的来源不正确,我如何拒绝提供index.html?
我正在开发一个聊天机器人,上面有一个React前端、一个Apache服务器和一个负载平衡器。我在Apache上添加了CORS配置,就像在适当的VirtualHost上添加的那样:Reactjs 如果请求的来源不正确,我如何拒绝提供index.html?,reactjs,apache,Reactjs,Apache,我正在开发一个聊天机器人,上面有一个React前端、一个Apache服务器和一个负载平衡器。我在Apache上添加了CORS配置,就像在适当的VirtualHost上添加的那样: Require all granted Header always set Access-Control-Allow-Origin "myURL" Header always set Access-Control-Allow-Methods "POST,GET,PUT" Header always se
Require all granted
Header always set Access-Control-Allow-Origin "myURL"
Header always set Access-Control-Allow-Methods "POST,GET,PUT"
Header always set Access-Control-Max-Age "3600"
Header always set Access-Control-Allow-Headers "Authorization"
Header always set Access-Control-Expose-Headers "Authorization"
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
在应用程序方面有什么我可以做的吗?在Apache上呢?我知道安全风险,但如果有人需要这样做,其实很简单 您可以使用mod_rewrite或If..Else语句并将其添加到.htaccess文件或httpd.conf中。以下是If..Else的解决方案:
<If "%{HTTP:Origin} in { 'yourURL' }">
Require all granted
</If>
<ElseIf "%{HTTP:Origin} == ''">
Require all granted
</ElseIf>
<Else>
Require all denied
</Else>
要求所有授权
要求所有授权
要求全部拒绝
我也允许没有来源的请求,但您可以删除ElseIf,否则。答案是您不希望基于来源标头的值执行任何服务器端阻止,因为来源标头是伪造的。原点值基本上只对浏览器有用,用于浏览器端的响应阻塞(这是CORS的作用,而不是服务器端阻塞),这是因为,当从浏览器中运行的前端JavaScript代码发出请求时,浏览器是唯一知道请求的实际来源的工具。如果您想在Apache中执行服务器端阻止,则现有内置的
mod_auth*mod_authz_hostmod_authz_hostRequire host example.org