創建 CORS 規則
跨域訪問是指請求一個與自身資源不同源(不同的域名、協議或端口)的資源。不同源可以是不同的域名、協議或端口。瀏覽器出于安全考慮設置了同源策略,限制了從腳本內發起跨域請求。但在實際應用中,經常會發生跨域訪問。為此,W3C 提供了一個標準的跨域解決方案:跨域資源共享(Cross-Origin Resource Sharing,CORS),支持安全的跨域請求和數據傳輸。
操作步驟
進入網關控制臺頁面,在左側導航欄中選擇 API 發布 > CORS 管理,進入 CORS 配置 頁面。
單擊 CORS 列表右上方的 創建 CORS。
在彈出的 新建 CORS 窗口中,選擇或輸入相關信息:
CORS 名稱:必填,輸入 CORS 的名稱用以識別 CORS 的作用。支持大小寫英文字母、中文、數字、下劃線(_)、中劃線(-),32 個字符以內。
CORS 狀態:必選,即創建后的 CORS 規則的狀態,可選擇 開啟 或 關閉,默認為 關閉。
說明若選擇關閉,您可在創建后通過 CORS 規則右側 操作 列中的 開啟 按鈕將指定的 CORS 規則開啟。
允許來源:必填,輸入允許的來源域名。
域名前需加
http://或https://。若想允許所有來源的域名,可輸入星號(*)。
您可單擊輸入框下方的 + 添加允許來源 來添加多個域名。
允許方法:必填,輸入 CORS 規則中允許的請求方法。可選 GET、POST、PUT 或 DELETE,允許多選。
說明如只設置了 DELETE 允許方法,GET、POST 或 PUT 的 option 請求是無法成功的。
允許標頭:選填,輸入允許跨域的所有請求頭信息字段。
允許標頭中可使用 * 通配符。
您可單擊輸入框下方的 + 添加允許標頭 來添加多個允許標頭。
公開標頭:選填,輸入跨域訪問允許查看的返回頭信息字段。
說明設置公開標頭后,系統會返回標準的 Access-Control-Expose-Headers 格式,即
key1,key2,如下圖所示:
公開標頭中 不允許 使用 * 通配符。
您可單擊輸入框下方的 + 添加公開標頭 來添加多個公開標頭。
有效期:選填,輸入瀏覽器的最大緩存時間。
允許憑證:表示是否允許發送 Cookie。
默認情況下為 關閉,即不允許發送 Cookie。
選擇 開啟,即表示服務器明確許可,Cookie 可以包含在請求中,一起發送給服務器。
單擊 確定,即可完成 CORS 規則的創建。
注意事項
通過 創建 CORS 按鈕所創建的 CORS 規則的生效范圍均為 API 級別。
在 CORS 規則列表中,有一條名為 當前環境級別 CORS 規則 的置頂規則,生效范圍為 當前環境級別。該規則無法刪除,默認狀態為關閉。
如果開啟該環境級別規則,則對所有 API 生效。但如果單個 API 已額外綁定其他規則,則已綁定的規則優先生效。
如果關閉該環境級別規則,則執行單個 API 額外綁定的規則。
后續操作
CORS 規則創建后,您可以通過 綁定 API 功能將規則與 API 進行綁定。