Amazon API Gateway CORS 实战

Amazon API Gateway 是构建和部署 RESTful API 的托管服务，而跨域资源共享（CORS）是为了在 Web 应用中安全实现跨域数据传输而设计的标准。在本文中，我们将深入探讨如何在 Amazon API Gateway 上实战配置 CORS，确保安全地处理跨域请求。

1. CORS 概述

1.1 同源策略回顾

同源策略是浏览器的安全机制，限制页面从一个源加载的资源如何与来自另一个源的资源进行交互。CORS 提供了一种机制，使服务器能够声明哪些源被允许访问其资源。

1.2 CORS 的关键概念

• 简单请求与预检请求：

• 简单请求使用常见的 HTTP 方法（GET、POST、HEAD），而预检请求是对复杂请求的预先检查，通常是使用 OPTIONS 方法。

• CORS 头部：

• 通过在 HTTP 头部中添加特定的 CORS 头部，服务器可以声明允许的源、方法、标头等信息。

2. API Gateway 中的 CORS 配置

2.1 打开 API Gateway 控制台

登录 AWS 管理控制台并导航到 Amazon API Gateway。

2.2 选择你的 API

在 API Gateway 控制台中选择你要配置 CORS 的 API。

2.3 配置 CORS

选择“资源”下的具体资源，然后在“资源操作”中选择“Enable CORS”。

2.4 配置 CORS 规则

在 CORS 设置中，添加适当的 CORS 规则，例如：

• 允许的 Origin：

• 设置为允许访问资源的域，可以是具体的域名或???*???表示允许任何域访问。

• 允许的方法：

• 指定实际请求允许使用的 HTTP 方法，如 GET、POST。

• 允许的标头：

• 指定浏览器在实际请求中可以使用的额外首部。

• 允许携带凭证：

• 如果需要携带身份凭证（如 Cookie），勾选此选项。

• 缓存时间：

• 可选项，设置预检请求的结果可以被缓存多久。

3. 安全性和最佳实践

3.1 限制允许的域

在 CORS 设置中指定具体的域，而不是使用通配符 ??*??，以提高安全性。

3.2 限制允许的方法和标头

根据实际需要，限制允许的方法和标头，以降低潜在攻击风险。

3.3 预检请求处理

如果你的应用会发出复杂请求，确保 API Gateway 可以正确处理预检请求。

4. 示例代码

以下是一个 CORS 配置的示例代码：

{
  "swagger": "2.0",
  "info": {
    "version": "1.0",
    "title": "Your API"
  },
  "paths": {
    "/your-endpoint": {
      "options": {
        "responses": {
          "200": {
            "description": "200 response",
            "headers": {
              "Access-Control-Allow-Origin": {
                "type": "string"
              },
              "Access-Control-Allow-Methods": {
                "type": "string"
              },
              "Access-Control-Allow-Headers": {
                "type": "string"
              }
            }
          }
        }
      }
    }
  }
}

5. 结论

通过在 Amazon API Gateway 中正确配置 CORS，我们可以安全地处理跨域请求，确保 Web 应用程序在访问 API 时能够正常运行。遵循最佳实践、限制允许的域、方法和标头，以及正确处理预检请求，可以提高应用程序的安全性和性能。在实际应用中，根据具体的业务需求和安全要求，调整 CORS 配置以获得最佳效果。