参数
请参阅 插件通用配置 了解所有插件可用的配置选项。
allow_methods
string
default:
*允许 CORS 的 HTTP 请求方法,用逗号分隔的字符串。
如果
allow_credential设置为true,你可以通过将该字段配置为**来强制允许所有方法的 CORS,但恶意行为者可以使用 HTTP 方法(如PUTorDELETE)对共享资源进行意外修改并构成安全威胁。allow_headers
string
default:
*允许在请求中使用的 HTTP 头,用逗号分隔的字符串。
如果
allow_credential设置为true,你可以通过将该字段配置为**来强制允许所有请求头的 CORS,但这可能会允许向服务器发送恶意头。expose_headers
string
default:
*应该在响应跨源请求时提供的 HTTP 头,用逗号分隔的字符串。
如果
allow_credential设置为true,你可以通过将该字段配置为**来强制允许所有响应头的 CORS。max_age
integer
default:
5预检请求结果可以缓存的最大时间(以秒为单位)。如果时间在此限制内,浏览器将检查缓存的结果。要禁用缓存,请将
max_age设置为-1。请注意,允许的最大值取决于浏览器。有关更多详细信息,请参阅
Access-Control-Max-Age。allow_credential
boolean
default:
false如果为 true,则允许请求包含凭据,例如 cookie。根据 CORS 规范,当
allow_credential设置为 true 时,不能将*用于其他 CORS 属性。要允许所有来源,请将该字段设置为
**。这可能会允许敏感的用户数据(如身份验证令牌或 cookie)暴露给恶意行为者。allow_origins_by_regex
array[string]
用于匹配允许 CORS 的来源的正则表��达式。配置后,仅允许此范围内的域,并且
allow_origins中的任何配置都将被忽略。例如,
['.*.test.com$']可以匹配test.com的所有子域。allow_origins_by_metadata
array[string]
引用插件元数据中设置的
allow_origins来启用 CORS 的来源。例如,如果在插件元数据中设置了allow_origins: {'EXAMPLE': 'https://example.com'},则可以使用['EXAMPLE']来允许来源https://example.com的 CORS。timing_allow_origins
timing_allow_origins_by_regex
array[string]
用于匹配允许访问资源计时信息的来源的正则表达式。配置后,仅允许匹配正则表��达式的域,并且
timing_allow_origins中的任何配置都将被忽略。例如,
['.*.test.com']可以匹配test.com的所有子域。
插件元数据
allow_origins
string
default:
*允许 CORS 的来源,用逗号分隔的字符串。
如果
allow_credential设置为true,你可以通过将该字段配置为**来强制允许所有来源的 CORS,但敏感数据(如身份验证令牌或 cookie)可能会暴露给任何恶意网站。