【发布时间】:2014-05-03 10:01:45
【问题描述】:
我在 .htaccess 文件中设置了以下配置。
除了硬编码域名(domain.com),我可以使用当前请求的域并防止域名硬编码吗?
另外,这样安全吗?硬编码当然可以保证正确的域,但我正在尝试考虑“获取当前域名”方法是否会导致其他问题(尤其是下面的前两个示例)。
# Allow cross-domain requests
#
SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.com)$" origin_is=$0
Header add Access-Control-Allow-Origin %{origin_is}e env=origin_is
Header add Access-Control-Allow-Credentials: true
# CSP
#
Header set Content-Security-Policy "default-src 'none'; connect-src http://domain.com https://domain.com;"
# Set domain name as a variable
#
RewriteRule .* - [E=domain_name:domain.com]
# Redirect non-secure (HTTP) traffic to secure (HTTPS)
#
RewriteCond %{ENV:HTTPS} !on [NC]
RewriteRule ^(.*)$ https://%{ENV:domain_name}/$1 [R=301,L]
【问题讨论】:
标签: apache .htaccess mod-rewrite apache2