跨域資源共用CORS(Cross-Origin Resource Sharing)是一項重要的安全性原則,允許Web應用伺服器進行跨域存取控制,從而實現跨域資料安全傳輸。雲原生網關支援在路由層級配置跨域策略,您可以根據自身需求,只允許必要的網域名稱和要求方法訪問資源,從而防止跨網站請求偽造等安全風險,確保服務的可靠性和安全性。
配置跨域策略
登入MSE網關管理主控台,並在頂部功能表列選擇地區。
在左側導覽列,選擇云原生网关 > 网关列表,單擊目標網關名稱。
在左側導覽列,單擊路由管理,然後選擇路由頁簽。
單擊需要變更的路由操作下的策略配置。
在策略配置頁簽,單擊跨域。
說明跨域對於Mock服務不生效,請配置一個真實的後端測試服務。
在跨域策略列表中設定相關配置項,然後單擊下方的儲存。
配置項
描述
允许的访问来源
設定允許通過瀏覽器訪問伺服器資源的網站。參數輸入規則如下:
允許所有的訪問來源:
*。允許指定根網域名稱的訪問來源:
*.example.com。允許多個具體的訪問來源:以
http://或https://開頭,並且以斷行符號分隔。
說明該參數作用於
Access-Control-Allow-Origin頭部。當用戶端請求的Origin頭部匹配上任意您設定的允許的訪問來源,跨域響應的Access-Control-Allow-Origin將會被設定為用戶端請求的Origin頭部。允许的方法
選擇跨域訪問時允許的HTTP方法。常見的方法有GET、POST、PUT、DELETE、HEAD、OPTIONS和PATCH。
說明該參數作用於Access-Control-Allow-Methods頭部。
允许的请求头部
除了瀏覽器內建的基礎Header,設定跨域訪問時允許的Header。參數輸入規則如下:
允許所有的要求標頭部:
*。允許多個具體的要求標頭部:輸入具體的要求標頭部,並以斷行符號分隔。
說明該參數作用於Access-Control-Allow-Headers頭部。
允许的响应头部
允許瀏覽器、JavaScript指令碼訪問的回應標頭部。參數輸入規則如下:
允許所有的回應標頭部:
*。允許多個具體的回應標頭部:輸入具體的回應標頭部,並以斷行符號分隔。
說明該參數作用於Access-Control-Expose-Headers頭部。
允许携带凭证
跨域訪問時是否允許攜帶憑證資訊。
說明該參數作用於Access-Control-Allow-Credentials頭部。
预检的过期时间
對於非簡單請求,設定OPTIONS預檢請求在瀏覽器的最大緩衝時間。
說明該參數作用於Access-Control-Max-Age頭部。
开启
開啟开启右側的開關。
開啟:開啟跨域策略後,您的伺服器資源允許被設定的第三方來源站點通過瀏覽器進行跨域訪問。
關閉:關閉跨域策略後,您的伺服器資源禁止被任意第三方來源站點通過瀏覽器進行跨域訪問。
結果驗證
執行以下測試請求命令:
curl -I -H "Origin: http://example.com" -H 'Host: www.test.com' -X OPTIONS http://121.196.XX.XX/demo/item/list響應結果:
HTTP/1.1 200 OK allow: GET,HEAD,OPTIONS x-content-type-options: nosniff x-xss-protection: 1; mode=block cache-control: no-cache, no-store, max-age=0, must-revalidate pragma: no-cache expires: 0 x-frame-options: DENY content-length: 0 date: Tue, 30 Nov 2021 03:20:31 GMT x-envoy-upstream-service-time: 6 access-control-allow-origin: http://example.com access-control-allow-credentials: true access-control-expose-headers: * server: istio-envoy
相關文檔
關於跨域的更多資訊,請參見跨域資源共用(CORS)。