Phpヘッダーディレクティブを使用してAccess-Control-Allow-Origin（CORS Origin）エラーを修正しても安全ですか？

はい、あなたはあなたのサイトを開いてAJAX経由でウェブ全体の他のスクリプトにリクエストされます。

Originをoneに制限すると、APIを使用する特定のリモートドメイン、たとえば この例 ：

header("Access-Control-Allow-Origin: http://mozilla.com");

しかし、Mozillaのドキュメントにあるように、クライアントはOriginをフォークできますが、それでもカジュアルなユーザーが接続できるサイトを制限することは、いくつかの攻撃の抑止力です。

さらに良いことに、リクエストを 実際に許可する必要があるメソッドのみ に制限できます。Gistはこのスニペットであり、複数のドメインで機能します$_SERVER['HTTP_Origin']変数が入力されました：

add_action('rest_api_init', function() {

     /* unhook default function */
     remove_filter('rest_pre_serve_request', 'rest_send_cors_headers');

     /* then add your own filter */
     add_filter('rest_pre_serve_request', function( $value ) {
          $Origin = get_http_Origin();
          $my_sites = array( 'http://site1.org/', 'http://site2.net', );
          if ( in_array( $Origin, $my_sites ) ) {
              header( 'Access-Control-Allow-Origin: ' . esc_url_raw( $Origin ) );
          } else {
              header( 'Access-Control-Allow-Origin: ' . esc_url_raw( site_url() ) );
          }
          header( 'Access-Control-Allow-Methods: GET' );

          return $value;
     });
}, 15);

ご覧のとおり、このスニペットはWordPressが提供する関数 get_http_Origin を使用しますが、HTTP_Originキーが$_SERVER配列に設定されていない場合、nullまたは空を返します。そのため、使用しているcloudflareプロキシによってブロックされているため、PHPスクリプトでは使用できません。この変数が設定されている場合は、<?php phpinfo(); ?>を使用してスクリプトを使用してすばやく確認します。

たぶん、Originサイトはcloudflareによって別のヘッダーに取り込まれ、http_Originフィルターにフックされた関数で使用できます。これまでに行方不明になった場合は、ファイルシステムのパスまたはパスワードを除き、_SERVER変数の内容を投稿して元の質問を編集します。

喜んでお手伝いします。