创建 CORS 规则
跨域访问是指请求一个与自身资源不同源(不同的域名、协议或端口)的资源。不同源可以是不同的域名、协议或端口。浏览器出于安全考虑设置了同源策略,限制了从脚本内发起跨域请求。但在实际应用中,经常会发生跨域访问。为此,W3C 提供了一个标准的跨域解决方案:跨域资源共享(Cross-Origin Resource Sharing,CORS),支持安全的跨域请求和数据传输。
操作步骤
进入网关控制台页面,在左侧导航栏中选择 API 发布 > CORS 管理,进入 CORS 配置 页面。
单击 CORS 列表右上方的 创建 CORS。
在弹出的 新建 CORS 窗口中,选择或输入相关信息:
CORS 名称:必填,输入 CORS 的名称用以识别 CORS 的作用。支持大小写英文字母、中文、数字、下划线(_)、中划线(-),32 个字符以内。
CORS 状态:必选,即创建后的 CORS 规则的状态,可选择 开启 或 关闭,默认为 关闭。
说明若选择关闭,您可在创建后通过 CORS 规则右侧 操作 列中的 开启 按钮将指定的 CORS 规则开启。
允许来源:必填,输入允许的来源域名。
域名前需加
http://
或https://
。若想允许所有来源的域名,可输入星号(*)。
您可单击输入框下方的 + 添加允许来源 来添加多个域名。
允许方法:必填,输入 CORS 规则中允许的请求方法。可选 GET、POST、PUT 或 DELETE,允许多选。
说明如只设置了 DELETE 允许方法,GET、POST 或 PUT 的 option 请求是无法成功的。
允许标头:选填,输入允许跨域的所有请求头信息字段。
允许标头中可使用 * 通配符。
您可单击输入框下方的 + 添加允许标头 来添加多个允许标头。
公开标头:选填,输入跨域访问允许查看的返回头信息字段。
说明设置公开标头后,系统会返回标准的 Access-Control-Expose-Headers 格式,即
key1,key2
,如下图所示:公开标头中 不允许 使用 * 通配符。
您可单击输入框下方的 + 添加公开标头 来添加多个公开标头。
有效期:选填,输入浏览器的最大缓存时间。
允许凭证:表示是否允许发送 Cookie。
默认情况下为 关闭,即不允许发送 Cookie。
选择 开启,即表示服务器明确许可,Cookie 可以包含在请求中,一起发送给服务器。
单击 确定,即可完成 CORS 规则的创建。
注意事项
通过 创建 CORS 按钮所创建的 CORS 规则的生效范围均为 API 级别。
在 CORS 规则列表中,有一条名为 当前环境级别 CORS 规则 的置顶规则,生效范围为 当前环境级别。该规则无法删除,默认状态为关闭。
如果开启该环境级别规则,则对所有 API 生效。但如果单个 API 已额外绑定其他规则,则已绑定的规则优先生效。
如果关闭该环境级别规则,则执行单个 API 额外绑定的规则。
后续操作
CORS 规则创建后,您可以通过 绑定 API 功能将规则与 API 进行绑定。