我的CSS托管在https://www.site1.com(它是经过身份验证的域),它使用woff/ttf位于https://media.site1.com上的文件(它也经过身份验证 - 与www相同).要连接到这些站点,我必须使用经过身份验证的代理.
我必须启用CORS以允许跨域加载,但是如果此域已经过基本身份验证并且我使用经过身份验证的代理,则似乎无法从其他域加载资源.
我在Apache中添加了以下指令:
SetEnvIf Origin "^http(s)?://(.*)$" origin_is=$0
Header set Access-Control-Allow-Origin %{origin_is}e env=origin_is
Header set Access-Control-Allow-Credentials "true"
Header set Access-Control-Allow-Headers "*"
它应该允许所有Origin,但是当CSS加载woff文件时(通过GET请求),我得到:
请求 (仅有趣的标题):
GET file.woff HTTP/1.1
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0
Host media.site1.com
Origin https://www.site1.com
Proxy-Authorization Basic XXX1234567
Connection keep-alive
Cache-Control max-age=0
响应(由Firebug或Httpfox看到):
HTTP/1.0 401 Unauthorized
WWW-Authenticate BASIC realm="Unspecified"
Server BigIP
Connection close
Content-Length 0
如果我media.site1.com在转到www之前手动验证,结果是一样的.浏览器似乎不会向"媒体"服务器发送基本身份验证凭据.
我是否需要设置其他标头以确保从其他位置加载WOFF文件,使用基本身份验证并最终使用企业身份验证代理?