Plug-in CORS
Por motivos de segurança, o navegador restringe solicitações entre domínios de serem iniciadas a partir de um script de página. Nesse caso, a página pode acessar apenas os recursos do domínio atual. O CORS permite que o navegador envie XMLHttpRequest para o servidor em um domínio diferente. Para obter mais informações, consulte CORS.
O plug-in CORS fornece os recursos de especificação de cabeçalhos de solicitação de simulação e cabeçalhos de resposta e criação automática de APIs de solicitação de simulação para acesso à API entre origens.
Somente gateways dedicados criados a partir de 10 de fevereiro de 2021 oferecem suporte ao plug-in CORS. Para usar o plug-in CORS para gateways dedicados criados antes de 10 de fevereiro de 2021, entre em contato com o atendimento ao cliente.
Diretrizes de uso
- Você entendeu as Diretrizes para o uso de plug-ins.
- As APIs com o mesmo caminho de solicitação em um grupo de APIs só podem ser vinculadas ao mesmo plug-in CORS.
- Se você ativou o CORS para uma API e também vinculou o plug-in CORS à API, o plug-in CORS será usado.
- Não é possível vincular o plug-in CORS a APIs com o mesmo caminho de solicitação de outra API que use o método OPTIONS.
- Ao vincular um plug-in a uma API, certifique-se de que o método de solicitação da API esteja incluído em allow_methods.
Parâmetros de configuração
|
Parâmetro |
Descrição |
|---|---|
|
allowed origins |
Cabeçalho de resposta Access-Control-Allow-Origin, que especifica uma única origem, que diz aos navegadores para permitir que essa origem acesse uma API; ou então — para solicitações sem credenciais — o curinga "*", para dizer aos navegadores para permitir que qualquer origem acesse a API. Separe vários URIs usando vírgulas. |
|
allowed methods |
Cabeçalho de resposta Access-Control-Allow-Methods, que especifica os métodos HTTP permitidos ao acessar a API. Separe vários métodos usando vírgulas. |
|
allowed headers |
Cabeçalho de resposta Access-Control-Allow-Headers, que especifica os cabeçalhos de solicitação que podem ser usados ao fazer uma XMLHttpRequest. Separe vários cabeçalhos usando vírgulas. Por padrão, os cabeçalhos de solicitação simples Accept, Accept-Language, Content-Language e Content-Type (somente se o valor for application/x-www-form-urlencoded, multipart/form-data ou text/plain) são transportados em solicitações. Você não precisa configurar esses cabeçalhos neste parâmetro. |
|
exposed headers |
Cabeçalho de resposta Access-Control-Expose-Headers, que especifica quais cabeçalhos de resposta podem ser contidos na resposta de XMLHttpRequest. Separe vários cabeçalhos usando vírgulas. Por padrão, os cabeçalhos básicos de resposta Cache-Control, Content-Language, Content-Type, Expires, Last-Modified e Pragma podem ser contidos na resposta. Você não precisa configurar esses cabeçalhos neste parâmetro. |
|
maximum age |
Cabeçalho de resposta Access-Control-Max-Age, que especifica por quantos segundos os resultados de uma solicitação de simulação podem ser armazenados em cache. Não serão enviadas mais solicitações de simulação dentro do período especificado. |
|
allowed credentials |
Cabeçalho de resposta Access-Control-Allow-Credentials, que especifica se solicitações XMLHttpRequest podem levar cookies. |
Exemplo de script
{
"allow_origin": "*",
"allow_methods": "GET,POST,PUT",
"allow_headers": "Content-Type,Accept,Accept-Ranges,Cache-Control",
"expose_headers": "X-Request-Id,X-Apig-Latency",
"max_age": 172800,
"allow_credentials": true
}
