Тот же домен и протокол, но «заблокированный политикой CORS:« Access-Control-Allow-Origin »отсутствует»

Question

На моем производственном сервере появилась странная проблема с CORS, которая не имеет для меня никакого смысла.

Access to XMLHttpRequest at 'https://example.org/update' from origin 'https://www.example.org' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

(example.org - просто заполнитель для моего фактического домена)

Я проверил эту проблему , а также эту проблему , но обе эти проблемы можно решить либо отключив политику (действительно плохая идея для производства), либо проверив, что запрашивающая иURL-адрес ответа соответствует одному и тому же протоколу.

Я проверил оба.У меня нет идей. У кого-нибудь есть совет, где искать дальше?

---

Если это имеет какое-либо отношение, мой рабочий сервер находится на веб-хосте LAMP.У меня нет доступа к https.conf, но у меня есть это в моем файле .htaccess:

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

Answer 1

Это не тот же домен.Если не указано иное, то субдомены считаются разными источниками.Вы должны либо написать эти источники в своей политике cors, либо использовать условие и правило перезаписи.

Попробуйте это:

RewriteCond %{HTTP_HOST} ^www\.example\.org$
RewriteRule ^/(.*)$ http://example.org/$1 [R=301,L]

Это перезапишет http://www.example.org/update в http://example.org/update