要在Apache2服务器的每个响应中应用"Access-Control-Allow-Origin"头,除了XMLHttpRequest(XHR)请求,您可以使用以下代码示例:
Header always set Access-Control-Allow-Origin "*"
Header always unset Access-Control-Allow-Credentials
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
RewriteCond %{REQUEST_URI} ^/api/ [NC]
RewriteCond %{REQUEST_METHOD} ^(GET|POST|PUT|DELETE)$ [NC]
RewriteCond %{HTTP:Origin} ^(http(s)?://.*\.example\.com)$ [NC]
RewriteRule .* - [E=HTTP_ORIGIN:%{HTTP:Origin}]
SetEnvIf Origin "^http(s)?://(.+\.)?example\.com$" HTTP_CORS_ORIGIN=$0
Header always set Access-Control-Allow-Origin %{HTTP_CORS_ORIGIN}e env=HTTP_CORS_ORIGIN
Header always set Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
Header always set Access-Control-Allow-Headers "Content-Type, Authorization, X-Requested-With"
# Disable caching for OPTIONS requests
Header always set Cache-Control "no-cache, no-store, must-revalidate" env=HTTP_CORS_ORIGIN
Header always set Pragma "no-cache" env=HTTP_CORS_ORIGIN
Header always Set Expires "0" env=HTTP_CORS_ORIGIN
# Handle preflight requests
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
上述代码将在每个响应中添加"Access-Control-Allow-Origin"头,并设置为"*",允许来自任何域的请求。它还设置了其他一些常见的CORS头,以便支持各种类型的请求。
请注意,将"Access-Control-Allow-Origin"设置为"*"可能会导致安全性问题,因为它允许来自任何域的请求。在生产环境中,建议将其设置为实际请求的来源域。
此外,代码还处理了OPTIONS请求,以便正确处理预检请求。这是CORS规范的一部分,用于在实际请求之前发送一个OPTIONS请求以检查服务器是否支持跨域请求。
请将上述代码添加到您的Apache配置文件中,并重新启动Apache服务器以使更改生效。