Что делать с кросс-доменным запросом между фронтенд-частью (reactJS) и бекенд-частью (laravel)?

Question

[Денис Букреев]

Такие дела.
Начитал какую-то фигню в гугле.
Нашел на забугорном ресурсе вот такое решение: 'header('Access-Control-Allow-Origin: *'); и тут же вспомнил, что я что-то подобное делал в самом начале своей веб-карьеры.

Только вот куда этот заголовок прописывать в Laravel?
И как правильно ограничить доступ только для одного домена?

Answer 1

[DevMan]

Access-Control-Allow-Origin умеет только в вайлдкард или конкретный домен.
поэтому для вайтлиста доменов нужно финтить:

SetEnvIf Origin "^http(s)?://(.+\.)?(domain\.org|domain2\.com)$" origin_is=$0 
Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is

Answer 2

[Александр Аксентьев]

https://github.com/barryvdh/laravel-cors

Comments

[Денис Букреев]

достаточно сложное решение, требующее вникания (я то в бекенде ни бум-бум)
но, спасибо!
в будущем надо будет опробовать, как скиллы подниму по Laravel

Answer 3

[Денис Букреев]

Нагуглил вот такое решение.
прописать в .htaccess (в public который):

<IfModule mod_headers.c>
   Header set Access-Control-Allow-Origin "*"
   Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS, PATCH, HEAD"
</IfModule>

Но вопрос ограничения доступа по доменам все равно стоит.