HTTP Headers not correctly set

OrionExodus · May 20, 2020, 1:33pm

I’ve configured the http headers for my domain, now it seems like not all settings are loaded? I get a lot of errors in the console for ressources not being accessible. It seems the value:

Access-Control-Allow-Origin "*"

Is not being set at all, current .htaccess:
AddHandler application/x-httpd-php74 .php

# BEGIN WordPress
# Die Anweisungen (Zeilen) zwischen `BEGIN WordPress` und `END WordPress` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress
# BEGIN HttpHeaders
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeaders` und `END HttpHeaders` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_headers.c>
  Header always set X-Content-Type-Options "nosniff"
  <IfModule mod_setenvif.c>
    SetEnvIf Origin "^(\*)$" CORS=$0
  </IfModule>
  Header set Access-Control-Allow-Origin %{CORS}e env=CORS
  Header set Access-Control-Allow-Credentials "true" env=CORS
  Header set Access-Control-Max-Age "86400" env=CORS
  Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, HEAD, PUT, DELETE" env=CORS
  Header set Access-Control-Allow-Headers "*" env=CORS
  Header set Access-Control-Expose-Headers "*" env=CORS
  <FilesMatch "\.(php|html)$">
    Header always unset X-Powered-By
    Header unset X-Powered-By
    Header set X-Frame-Options "DENY"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Download-Options "noopen"
    Header set X-Permitted-Cross-Domain-Policies "master-only"
    Header set X-DNS-Prefetch-Control "on"
    Header set Connection "keep-alive"
    Header set Pragma "no-cache"
    Header set Age "290304000"
    Header set Cache-Control "public, max-age=290304000"
    Header set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS
    Header set X-UA-Compatible "IE=10"
    Header set Content-Security-Policy "default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval' http:; style-src 'unsafe-inline' http:; img-src http: data:; font-src http: data:; frame-src 'self'; sandbox allow-forms allow-scripts"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
    Header append Vary "*"
  </FilesMatch>
</IfModule>
# END HttpHeaders
# BEGIN HttpHeadersCompression
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeadersCompression` und `END HttpHeadersCompression` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_filter.c>
  FilterDeclare HttpHeaders
<IfModule mod_deflate.c>
    FilterProvider HttpHeaders DEFLATE "%{HTTP:Accept-Encoding} =~ /gzip/ && (%{CONTENT_TYPE} =~ m#^(application/javascript|application/x-javascript|application/json|application/ld+json|application/manifest+json|application/rdf+xml|application/rss+xml|application/schema+json|application/vnd.geo+json|application/x-web-app-manifest+json|application/vnd.ms-fontobject|application/x-font-ttf|application/xhtml+xml|application/xml|font/opentype|font/eot|image/bmp|image/svg+xml|image/x-icon|image/vnd.microsoft.icon|text/javascript|text/css|text/html|text/plain|text/x-component|text/xml)# || %{REQUEST_FILENAME} =~ /.(php|html|js|css|json|xml|svg|txt|bmp|ico|ttf|otf|eot)$/)"
  </IfModule>
  FilterChain HttpHeaders
</IfModule>
# END HttpHeadersCompression
# BEGIN HttpHeadersContentType
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeadersContentType` und `END HttpHeadersContentType` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_mime.c>
  AddType application/vnd.ms-fontobject .eot
  AddType application/x-font-opentype .otf
  AddType image/svg+xml .svg
  AddType application/x-font-ttf .ttf
  AddType application/font-woff .woff
  AddType application/font-woff2 .woff2
  AddType application/javascript .jsonp
</IfModule>
# END HttpHeadersContentType
# BEGIN HttpHeadersExpires
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeadersExpires` und `END HttpHeadersExpires` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_expires.c>
  ExpiresActive On
  ExpiresDefault "modification plus 3 days"
  ExpiresByType text/css "access plus 12 hours"
  ExpiresByType text/javascript "access plus 1 day"
  ExpiresByType text/plain "access plus 1 hour"
  ExpiresByType image/gif "access plus 3 days"
  ExpiresByType image/png "access plus 3 days"
  ExpiresByType image/jpeg "access plus 3 days"
  ExpiresByType image/x-icon "access plus 3 days"
  ExpiresByType application/x-javascript "access plus 12 hours"
  ExpiresByType application/javascript "access plus 12 hours"
  ExpiresByType application/x-icon "access plus 12 hours"
</IfModule>
# END HttpHeadersExpires
# BEGIN HttpHeadersTiming
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeadersTiming` und `END HttpHeadersTiming` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
<IfModule mod_headers.c>
  <FilesMatch "\.(js|css|jpe?g|png|gif|eot|otf|svg|ttf|woff2?)$">
    Header set Timing-Allow-Origin "*"
  </FilesMatch>
</IfModule>
# END HttpHeadersTiming

# Wordfence WAF
<Files ".user.ini">
<IfModule mod_authz_core.c>
	Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
	Order deny,allow
	Deny from all
</IfModule>
</Files>

# END Wordfence WAF

# BEGIN HttpHeadersAuth
# Die Anweisungen (Zeilen) zwischen `BEGIN HttpHeadersAuth` und `END HttpHeadersAuth` sind
# dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
# Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
# END HttpHeadersAuth
<IfModule mod_substitute.c>
SubstituteMaxLineLength 30m
</IfModule>
LimitRequestBody 9999999

#@__HCP_END__@#
# Anything after the comment above is left alone

sandro · May 20, 2020, 2:17pm

I am afraid that is a question for StackExchange, not Cloudflare.

Ivan.Wallarm · May 20, 2020, 4:03pm

Please don’t use wildcards like this Access-Control-Allow-Origin "*"
It’s insecure, and technically means, that you allows any website to bypass CORS browser policy. Please read this CORS OriginHeaderScrutiny | OWASP Foundation

Topic		Replies	Views
No 'Access-Control-Allow-Origin' header is present on the requested resource - OpenLiteSpeed Server Security	2	2872	July 20, 2023
Setting CORS headers for a specific error Access	1	1288	October 28, 2023
Issues enabling CORS with header addition Security dash-troubleshooting	2	4132	June 6, 2019
Headers in _headers not being honored Security	5	1027	April 17, 2023
Cloudflare is caching my Allow Origin Cors headers General	1	3994	May 28, 2020

HTTP Headers not correctly set

Related topics