Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di Apigee Edge.
Cosa
La condivisione delle risorse tra origini (CORS) è un meccanismo standard che consente alle chiamate XMLHttpRequest (XHR) di JavaScript eseguite in una pagina web di interagire con le risorse di domini diversi dall'origine. CORS è una soluzione comunemente implementata per i criteri della stessa origine applicati da tutti i browser.
Ad esempio, se effettui una chiamata XHR all'API Twitter dal codice JavaScript in esecuzione nel browser, la chiamata non andrà a buon fine. Questo accade perché il dominio che pubblica la pagina nel browser non è lo stesso del dominio che pubblica l'API Twitter. CORS fornisce una soluzione a questo problema consentendo ai server di attivare la condivisione delle risorse tra origini se vogliono fornire questa funzionalità.
Questo criterio CORS consente ai clienti Apigee di impostare criteri CORS per le API utilizzate dalle applicazioni web.
Questo criterio è un criterio standard e può essere implementato in qualsiasi tipo di ambiente. Per informazioni sui tipi di criteri e sulla loro disponibilità in base a ciascun tipo di ambiente, consulta Tipi di criteri.
Elemento <CORS>
Definisce il criterio CORS.
Valore predefinito | Consulta la scheda Criterio predefinito di seguito |
Obbligatorio? | Obbligatorio |
Tipo | Oggetto complesso |
Elemento principale | N/D |
Elementi secondari |
<AllowCredentials> <AllowHeaders> <AllowMethods> <AllowOrigins> <DisplayName> <ExposeHeaders> <GeneratePreflightResponse> <IgnoreUnresolvedVariables> <MaxAge> |
La sintassi dell'elemento <CORS>
è la seguente:
Sintassi
La sintassi dell'elemento <CORS>
è la seguente:
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <DisplayName>DISPLAY_NAME</DisplayName> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <AllowMethods>[GET, PUT, POST, DELETE, ...|*]</AllowMethods> <AllowHeaders>[origin, x-requested-with, accept, content-type, ...]</AllowHeaders> <ExposeHeaders>[X-CUSTOM-HEADER-A, X-CUSTOM-HEADER-B, ... | *]</ExposeHeaders> <MaxAge>[integer|-1]</MaxAge> <AllowCredentials>[false|true]</AllowCredentials> <GeneratePreflightResponse>[false|true]</GeneratePreflightResponse> <IgnoreUnresolvedVariables>[false|true]</IgnoreUnresolvedVariables> </CORS>
Criterio predefinito
L'esempio seguente mostra le impostazioni predefinite quando aggiungi il criterio CORS al tuo flusso nell'interfaccia utente di Edge:
<CORS continueOnError="false" enabled="true" name="add-cors"> <DisplayName>Add CORS</DisplayName> <AllowOrigins>{request.header.origin}</AllowOrigins> <AllowMethods>GET, PUT, POST, DELETE</AllowMethods> <AllowHeaders>origin, x-requested-with, accept, content-type</AllowHeaders> <ExposeHeaders>*</ExposeHeaders> <MaxAge>3628800</MaxAge> <AllowCredentials>false</AllowCredentials> <GeneratePreflightResponse>true</GeneratePreflightResponse> <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables> </CORS>
Quando inserisci un nuovo criterio CORS
nell'interfaccia utente di Apigee, il modello contiene stub per tutte le operazioni possibili. In genere, selezioni le operazioni da eseguire con questo criterio e rimuovi il resto degli elementi secondari. Ad esempio, se vuoi specificare
i metodi HTTP consentiti per accedere alla risorsa, utilizza l'elemento <AllowMethods>
e rimuovi gli altri elementi secondari dal criterio per renderlo più leggibile.
Questo elemento ha i seguenti attributi comuni a tutti i criteri:
Attributo | Predefinito | Obbligatorio? | Descrizione |
---|---|---|---|
name |
N/D | Obbligatorio |
Il nome interno del criterio. Il valore dell'attributo Se vuoi, utilizza l'elemento |
continueOnError |
falso | Facoltativo | Imposta su false per restituire un errore quando un criterio non va a buon fine. Questo è un comportamento previsto per la maggior parte dei criteri. Imposta su true per continuare l'esecuzione del flusso anche dopo un fallimento del criterio. Vedi anche:
|
enabled |
true | Facoltativo | Imposta su true per applicare il criterio. Imposta su false per disattivare il
criterio. Il criterio non verrà applicato anche se rimane collegato a un flusso. |
async |
falso | Ritirato | Questo attributo è stato ritirato. |
Ciascuno degli elementi secondari è descritto nelle sezioni che seguono.
Esempi
Nelle sezioni seguenti sono riportati esempi per tutti gli elementi secondari.
Riferimento all'elemento secondario
Questa sezione descrive gli elementi secondari di <CORS>
.
<AllowCredentials>
Indica se l'utente che chiama è autorizzato a inviare la richiesta effettiva (non il preflight) utilizzando
le credenziali. Viene tradotto nell'intestazione Access-Control-Allow-Credentials
.
Valore predefinito | Se non è specificato, Access-Control-Allow-Credentials non verrà impostato. |
Obbligatorio? | Facoltativo |
Tipo | Booleano |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
La sintassi dell'elemento <AllowCredentials>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <AllowCredentials>[false|true]</AllowCredentials> </CORS>
Esempio
Questo esempio imposta l'intestazione Access-Control-Allow-Credentials
su false
.
In altre parole, l'utente che chiama non è autorizzato a inviare la richiesta effettiva (non il preflight)
utilizzando le credenziali.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <AllowCredentials>false</AllowCredentials> </CORS>
<AllowHeaders>
Elenco delle intestazioni HTTP che possono essere utilizzate per richiedere la risorsa.
Serializzato nell'intestazione
Access-Control-Allow-Headers
.
Valore predefinito | Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers |
Obbligatorio? | Facoltativo |
Tipo | Stringa, con supporto del modello di messaggio* |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
* Per ulteriori informazioni, consulta Che cos'è un modello di messaggio?
La sintassi dell'elemento <AllowHeaders>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <AllowHeaders>[origin, x-requested-with, accept, content-type, ...]</AllowHeaders> </CORS>
Esempio
Questo esempio specifica le intestazioni HTTP che possono essere utilizzate per richiedere la risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <AllowHeaders>origin, x-requested-with, accept, content-type</AllowHeaders> </CORS>
<AllowMethods>
Elenco dei metodi HTTP consentiti per accedere alla risorsa. I contenuti verranno
serializzati nell'Access-Control-Allow-Methods
header.
Valore predefinito | GET, POST, HEAD, OPTIONS |
Obbligatorio? | Facoltativo |
Tipo | Stringa, con supporto del modello di messaggio* |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
* Per ulteriori informazioni, consulta Che cos'è un modello di messaggio?
La sintassi dell'elemento <AllowMethods>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <AllowMethods>[GET, PUT, POST, DELETE, ...|*]</AllowMethods> </CORS>
Esempio:
List
Questo esempio specifica i metodi HTTP che possono accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <AllowMethods>GET, PUT, POST, DELETE</AllowMethods> </CORS>
Esempio:
Carattere jolly
Questo esempio specifica che tutti i metodi HTTP sono autorizzati ad accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <AllowMethods>*</AllowMethods> </CORS>
<AllowOrigins>
Un elenco di origini che possono accedere alla risorsa. Utilizza un asterisco (*
)
per abilitare l'accesso a una risorsa da qualsiasi origine. In caso contrario, fornisci una lista consentita
di origini separate da virgole. Se viene trovata una corrispondenza, il valore di Access-Control-Allow-Origin
in uscita viene impostato sull'origine fornita dal client.
Valore predefinito | N/D |
Obbligatorio? | Obbligatorio |
Tipo | Stringa, con supporto del modello di messaggio* |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
* Per ulteriori informazioni, consulta Che cos'è un modello di messaggio?
La sintassi dell'elemento <AllowOrigins>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> </CORS>
Esempio:
URL singolo
Questo esempio specifica una singola origine URL che è autorizzata ad accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>https://www.w3.org</AllowOrigins> </CORS>
Esempio:
più URL
Questo esempio specifica più origini che possono accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>https://www.w3.org, https://www.apache.org</AllowOrigins> </CORS>
Esempio:
Variabile di contesto
Questo esempio specifica una variabile di contesto che rappresenta una o più origini autorizzate ad accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{origins.list}</AllowOrigins> </CORS>
Esempio:
Variabile di flusso
Questo esempio specifica una variabile di flusso che rappresenta un'origine autorizzata ad accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> </CORS>
Esempio:
Carattere jolly
Questo esempio specifica che tutte le origini sono autorizzate ad accedere alla risorsa.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>*</AllowOrigins> </CORS>
<DisplayName>
Da utilizzare insieme all'attributo name
per etichettare il criterio nell'editor proxy dell'interfaccia utente di gestione con un nome diverso e più naturale.
L'elemento <DisplayName>
è comune a tutti i criteri.
Valore predefinito | N/D |
Obbligatorio? | Facoltativo. Se ometti <DisplayName> , viene utilizzato il valore dell'attributo name del criterio. |
Tipo | Stringa |
Elemento principale | <PolicyElement> |
Elementi secondari | Nessuno |
La sintassi dell'elemento <DisplayName>
è la seguente:
Sintassi
<PolicyElement> <DisplayName>POLICY_DISPLAY_NAME</DisplayName> ... </PolicyElement>
Esempio
<PolicyElement> <DisplayName>My Validation Policy</DisplayName> </PolicyElement>
L'elemento <DisplayName>
non ha attributi o elementi secondari.
<ExposeHeaders>
Un elenco di intestazioni HTTP a cui i browser possono accedere o un asterisco (*
) per consentire tutte le intestazioni HTTP.
Serializzati nell'Access-Control-Expose-Headers
.
Valore predefinito | Se non è specificato, Access-Control-Expose-Headers non verrà impostato. Le intestazioni non semplici non sono esposte per impostazione predefinita. |
Obbligatorio? | Facoltativo |
Tipo | Stringa, con supporto del modello di messaggio* |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
* Per ulteriori informazioni, consulta Che cos'è un modello di messaggio?
La sintassi dell'elemento <ExposeHeaders>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <ExposeHeaders>[X-CUSTOM-HEADER-A, X-CUSTOM-HEADER-B, ... | *]</ExposeHeaders> </CORS>
Esempio
Questo esempio specifica che i browser sono autorizzati ad accedere a tutte le intestazioni HTTP.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <ExposeHeaders>*</ExposeHeaders> </CORS>
<GeneratePreflightResponse>
Indica se il criterio deve generare e restituire la risposta preflight CORS.
Se false
, non viene inviata alcuna risposta. Vengono invece completate le seguenti variabili di flusso:
cross_origin_resource_sharing.allow.credentials
cross_origin_resource_sharing.allow.headers
cross_origin_resource_sharing.allow.methods
cross_origin_resource_sharing.allow.origin
cross_origin_resource_sharing.allow.origins.list
cross_origin_resource_sharing.expose.headers
cross_origin_resource_sharing.max.age
cross_origin_resource_sharing.preflight.accepted
cross_origin_resource_sharing.request.headers
cross_origin_resource_sharing.request.method
cross_origin_resource_sharing.request.origin
cross_origin_resource_sharing.request.type
Valore predefinito | true |
Obbligatorio? | Facoltativo |
Tipo | Booleano |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
La sintassi dell'elemento <GeneratePreflightResponse>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <GeneratePreflightResponse>[false|true]</GeneratePreflightResponse> <GeneratePreflightResponse>[false|true]</GeneratePreflightResponse> </CORS>
Esempio
Questo esempio specifica che il criterio deve generare e restituire la risposta preflight CORS.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <GeneratePreflightResponse>true</GeneratePreflightResponse> </CORS>
<IgnoreUnresolvedVariables>
Determina se l'elaborazione si interrompe quando viene rilevata una variabile non risolta.
Imposta su true
per ignorare le variabili non risolte e continuare l'elaborazione;
altrimenti false
.
Valore predefinito | true |
Obbligatorio? | Facoltativo |
Tipo | Booleano |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
La sintassi dell'elemento <IgnoreUnresolvedVariables>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <IgnoreUnresolvedVariables>[false|true]</IgnoreUnresolvedVariables> </CORS>
Esempio
Questo esempio specifica che l'elaborazione continua quando viene rilevata una variabile non risolta.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables> </CORS>
<MaxAge>
Specifica per quanto tempo i risultati di una richiesta preflight possono essere memorizzati nella cache in secondi.
Un valore -1
compila l'intestazione Access-Control-Max-Age
con un valore -1
, che disattiva la memorizzazione nella cache, richiedendo un controllo preliminare
OPTIONS
per tutte le chiamate. Questo valore è definito nella
specifica
Access-Control-Max-Age
.
Valore predefinito | 1800 |
Obbligatorio? | Facoltativo |
Tipo | Numero intero |
Elemento principale |
<CORS>
|
Elementi secondari | Nessuno |
La sintassi dell'elemento <MaxAge>
è la seguente:
Sintassi
<CORS continueOnError="[false|true]" enabled="[false|true]" name="POLICY_NAME"> <AllowOrigins>[{message template}|URL|URL, URL, ...|{context-variable}|{flow-variable}|*]</AllowOrigins> <MaxAge>[integer|-1]</MaxAge> </CORS>
Esempio:
Cache
Questo esempio specifica che i risultati di una richiesta preflight possono essere memorizzati nella cache per 3628800
secondi.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <MaxAge>3628800</MaxAge> </CORS>
Esempio:
Nessuna cache
Questo esempio specifica che i risultati di una richiesta preflight non possono essere memorizzati nella cache.
<CORS continueOnError="false" enabled="true" name="add-cors"> <AllowOrigins>{request.header.origin}</AllowOrigins> <MaxAge>-1</MaxAge> </CORS>
Note sull'utilizzo
Richieste OPTIONS
Quando una richiesta
OPTIONS
viene ricevuta ed elaborata dal criterio CORS, l'esecuzione del flusso proxy
viene trasferita direttamente al PreFlow di risposta del proxy, ignorando completamente i flussi di richiesta e
proseguendo l'esecuzione da lì. Non è necessario creare una condizione per ignorare la richiesta OPTIONS nel flusso di richieste proxy.
Nelle chiamate successive, quando viene eseguito il criterio CORS, se il valore MaxAge
impostato nel criterio non è scaduto, il flusso continua normalmente. Durante il flusso di risposta finale, appena prima di "Risposta inviata al
client", un passaggio di esecuzione CORS speciale "CORSResponseOrErrorFlowExecution" imposta le intestazioni di risposta CORS (Access-Control-Allow-Credentials
, Access-Control-Allow-Origin
e
Access-Control-Expose-Headers
) per restituire una risposta convalidata da CORS.
Codici di errore
Questa sezione descrive i codici di errore e i messaggi di errore restituiti e le variabili di errore impostate da Apigee quando questo criterio attiva un errore. Queste informazioni sono importanti se stai sviluppando regole di errore per gestire gli errori. Per scoprire di più, consulta Che cosa devi sapere sugli errori relativi alle norme e Gestione dei guasti.
Errori di runtime
Questi errori possono verificarsi durante l'esecuzione del criterio.
Codice guasto | Stato HTTP | Causa |
---|---|---|
steps.cors.UnresolvedVariable |
500 |
Questo errore si verifica se una variabile specificata nel criterio CORS è:
o |
Errori di deployment
Questi errori possono verificarsi quando esegui il deployment di un proxy contenente questo criterio.
Nome dell'errore | Causa |
---|---|
InvalidMaxAge |
MaxAge non è un numero |
MissingAllowOrigins |
AllowOrigins non è specificato |
InvalidHTTPMethods |
Uno dei metodi in AllowMethods non è valido |
AllowHeadersSizeTooLarge |
La dimensione della stringa in AllowHeaders è troppo grande. |
ExposeHeadersSizeTooLarge |
La dimensione della stringa in ExposeHeaders è troppo grande. |
Variabili di errore
Queste variabili vengono impostate quando questo criterio attiva un errore in fase di runtime. Per ulteriori informazioni, consulta Cosa devi sapere sugli errori relativi alle norme.
Variabili | Dove | Esempio |
---|---|---|
fault.name = "FAULT_NAME" |
FAULT_NAME è il nome dell'errore, come indicato nella tabella Errori di runtime sopra. Il nome dell'errore è la parte finale del codice dell'errore. | fault.name Matches "UnresolveVariable" |
cors.POLICY_NAME.failed |
POLICY_NAME è il nome specificato dall'utente del criterio che ha generato l'errore. | cors.AddCORS.failed = true |
Esempio di risposta di errore
{ "fault":{ "detail":{ "errorcode":"steps.cors.UnresolvedVariable" }, "faultstring":"CORS[AddCORS]: unable to resolve variable wrong.var" } }
Esempio di regola di errore
<FaultRule name="Add CORS Fault"> <Step> <Name>Add-CORSCustomUnresolvedVariableErrorResponse</Name> <Condition>(fault.name Matches "UnresolvedVariable") </Condition> </Step> <Condition>(cors.Add-CORS.failed = true) </Condition> </FaultRule>
Variabili di flusso
Verrà aggiunto un oggetto CorsFlowInfo
FlowInfo
e sarà disponibile per la tracciabilità.
Proprietà | Tipo | Lettura/scrittura | Descrizione | Ambito inizia |
---|---|---|---|---|
cross_origin_resource_sharing.allow.credentials |
Booleano | Lettura/scrittura | Valore da <AllowCredentials> |
Richiesta proxy |
cross_origin_resource_sharing.allow.headers |
Stringa | Lettura/scrittura | Valore da <AllowHeaders> |
Richiesta proxy |
cross_origin_resource_sharing.allow.methods |
Stringa | Lettura/scrittura | Valore da <AllowMethods> |
Richiesta proxy |
cross_origin_resource_sharing.allow.origin |
Stringa | Lettura/scrittura | L'origine della richiesta consentita, vuota se non è presente nell'elenco consentiti | Richiesta proxy |
cross_origin_resource_sharing.allow.origins.list |
Stringa | Lettura/scrittura | Valore da <AllowOrigins> |
Richiesta proxy |
cross_origin_resource_sharing.expose.headers |
Stringa | Lettura/scrittura | Valore da <ExposeHeaders> |
Richiesta proxy |
cross_origin_resource_sharing.max.age |
Numero intero | Lettura/scrittura | Valore da <MaxAge> |
Richiesta proxy |
cross_origin_resource_sharing.preflight.accepted |
Booleano | Lettura/scrittura | Indica se la richiesta preflight è accettata | Richiesta proxy |
cross_origin_resource_sharing.request.headers |
Stringa | Lettura/scrittura | Il valore dell'intestazione della richiesta Access-Control-Request-Headers |
Richiesta proxy |
cross_origin_resource_sharing.request.method |
Stringa | Lettura/scrittura | Il valore dell'intestazione della richiesta Access-Control-Request-Method |
Richiesta proxy |
cross_origin_resource_sharing.request.origin |
Stringa | Lettura/scrittura | Uguale a request.header.origin |
Richiesta proxy |
cross_origin_resource_sharing.request.type |
Stringa | Lettura/scrittura |
Tipo di richiesta CORS. Valori possibili:
|
Richiesta proxy |