CORS
Por motivos de segurança, o navegador restringe solicitações entre domínios de serem iniciadas a partir de um script de página. Nesse caso, a página pode acessar apenas os recursos do domínio atual. O CORS permite que o navegador envie XMLHttpRequest para o servidor em um domínio diferente. Para obter detalhes sobre CORS, consulte CORS.
O plug-in de CORS fornece os recursos de especificação de cabeçalhos de solicitação de simulação e cabeçalhos de resposta e criação automática de APIs de solicitação de simulação para acesso à API entre origens.
Se o seu gateway não oferecer suporte a essa política, entre em contato com o suporte técnico para atualizar o gateway para a versão mais recente.
Diretrizes de uso
- Você entendeu as Diretrizes para o uso de plug-ins.
- As APIs com o mesmo caminho de solicitação em um grupo de APIs só podem ser vinculadas à mesma política de plug-in de CORS.
- Se você ativou o CORS para uma API e também vinculou o plug-in de CORS à API, o plug-in de CORS será usado.
- Não é possível vincular o plug-in de CORS a APIs com o mesmo caminho de solicitação de outra API que use o método OPTIONS.
- Ao vincular uma política de plug-in a uma API (consulte Vinculação da política às APIs), certifique-se de que o método de solicitação da API esteja incluído em allow_methods.
Parâmetros de configuração
|
Parâmetro |
Descrição |
|---|---|
|
Allowed Origins |
Cabeçalho de resposta Access-Control-Allow-Origin, que especifica uma única origem, que diz aos navegadores para permitir que essa origem acesse uma API; ou então — para solicitações sem credenciais — o curinga "*", para dizer aos navegadores para permitir que qualquer origem acesse a API. Separe vários URIs usando vírgulas. |
|
Allowed Methods |
Cabeçalho de resposta Access-Control-Allow-Methods, que especifica os métodos HTTP permitidos ao acessar a API. Separe vários métodos usando vírgulas. |
|
Allowed Headers |
Cabeçalho de resposta Access-Control-Allow-Headers, que especifica os cabeçalhos de solicitação que podem ser usados ao fazer um XMLHttpRequest. Separe vários cabeçalhos usando vírgulas. Por padrão, os cabeçalhos de solicitação simples Accept, Accept-Language, Content-Language e Content-Type (somente se o valor for application/x-www-form-urlencoded, multipart/form-data ou text/plain) são transportados em solicitações. Você não precisa configurar esses cabeçalhos neste parâmetro.
NOTA:
|
|
Exposed Headers |
Cabeçalho de resposta Access-Control-Expose-Headers, que especifica quais cabeçalhos de resposta podem ser contidos na resposta de XMLHttpRequest. Separe vários cabeçalhos usando vírgulas. Por padrão, os cabeçalhos de resposta básicos Cache-Control, Content-Language, Content-Type, Expires, Last-Modified e Pragma podem ser contidos na resposta. Você não precisa configurar esses cabeçalhos neste parâmetro.
NOTA:
|
|
Maximum Age |
Cabeçalho de resposta Access-Control-Max-Age, que especifica por quantos segundos os resultados de uma solicitação de simulação podem ser armazenados em cache. Não serão enviadas mais solicitações de simulação dentro do período especificado. |
|
Allowed Credentials |
Cabeçalho de resposta Access-Control-Allow-Credentials, que especifica se solicitações XMLHttpRequest podem conter cookies. |
Exemplo de script
{
"allow_origin": "*",
"allow_methods": "GET,POST,PUT",
"allow_headers": "Content-Type,Accept,Accept-Ranges,Cache-Control",
"expose_headers": "X-Request-Id,X-Apig-Latency",
"max_age": 86400,
"allow_credentials": true
}
