如何解决API网关lamba-proxy集成中的CORS问题
我当前正在使用无服务器应用程序,而我的serverless.yml看起来像
functions:
app:
handler: server.run
events:
- http:
path: /api/{any+}
method: ANY
- http:
path: /secure/api/{any+}
method: ANY
cors :
origins
- domain-url-1
- domain-url-2
您可以在上面看到的是一条安全路由,它需要授权,而非安全路由不需要传递任何授权标头。由于lambda-proxy不接受api网关响应,因此我将响应标头附加到我的app.js上,如下所示,对于每条路由,我都将状态和状态代码分别发送到res对象中。
app.use((req,res,next) => {
res.header("Access-Control-Allow-Origin","*");
res.header("Access-Control-Allow-Headers","*");
res.header("Access-Control-Request-Headers","*");
// res.headersSent("Access-Control-Allow-Headers","Content-Type");
res.header('Access-Control-Allow-Headers',"Origin,X-Requested-With,Content-Type,Accept,Authorization,accesstoken");
res.header('Access-Control-Allow-Credentials',true);
next();
});
但是我的api网关适用于非安全路由,而对于安全路由,我却遇到了CORS问题
** Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
polyfills.ff5fcb5319b1dc651f7b.js:1 GET https://8nv8r4ph65.execute-api.us-east-1.amazonaws.com/staging/secure/api/v1/legal/notification/list?rowsPerPage=15 net::ERR_FAILED **
我不确定我要去哪里哪里
解决方法
您的来源标头与ApiGateway中的指定域不匹配。为了快速验证,请删除无服务器中的指定域。
,这是因为您的安全路由正在使用其中一种方法来传递身份验证状态,浏览器将该身份验证状态检测为带有凭据的请求。浏览器将请求标记为凭据的某些方式是,如果请求发送回cookie或请求包含Authorization
标头。
带凭据的请求还有一个有关CORS的附加规则。对于凭证请求,来源*
是非法的。浏览器制造商反而希望服务器管理员/后端开发人员告诉浏览器确切的域名对CORS请求有效。
除了上述规则外,域名列表对于有证书的请求也是非法的。具有凭据的请求可以仅接受一个域用于CORS。
您当然可以在服务器代码中对前端域名进行硬编码。但这很烦人,而且在需要为多个域提供服务时也不灵活。
此情况下的正确解决方案(实际上是CORS的使用方式)是检查请求中的Origin
标头。
最懒惰的方法是将Origin
标头复制到Access-Control-Allow-Origin
:
res.header("Access-Control-Allow-Origin",req.get("Origin"));
这将使世界上任何人都可以从任何网站访问您的数据。如果您对此表示满意,并且只在乎使用身份验证来保护您的数据,而不是同时使用CORS机制,那就很好了。
如果您使用cors
中间件,那么如果您将true
作为来源传递,它将为您完成此操作:
app.use(cors({ origin: true }));
使用CORS的方式是根据已批准的域列表检查Origin
:
const approvedDomains = [
"https://www.google.com","https://my.application.com","http://my.application.com" // etc..
]
function checkDomains(origin) {
return approvedDomains.filter(domain => domain === origin)[0];
}
res.header("Access-Control-Allow-Origin",checkDomains(req.get("Origin")));
同样,cors
中间件使此操作变得简单,允许您传递一组已批准的域名,并且它将为您执行上述逻辑:
app.use(cors({ origin: approvedDomains });
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。