Konfigurasikan CORS untuk HTTP APIs di API Gateway - Amazon API Gateway
Mengonfigurasi CORS untuk API HTTP dengan $default rute dan otorisasiKonfigurasikan CORS untuk API HTTP dengan menggunakan CLI AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan CORS untuk HTTP APIs di API Gateway

Cross-origin resource sharing (CORS) adalah fitur keamanan browser yang membatasi permintaan HTTP yang dimulai dari skrip yang berjalan di browser. Jika Anda tidak dapat mengakses API dan menerima pesan kesalahan yang berisiCross-Origin Request Blocked, Anda mungkin perlu mengaktifkan CORS. Untuk informasi lebih lanjut, lihat Apa itu CORS? .

CORS biasanya diperlukan untuk membangun aplikasi web yang mengakses APIs host pada domain atau asal yang berbeda. Anda dapat mengaktifkan CORS untuk mengizinkan permintaan ke API Anda dari aplikasi web yang dihosting di domain lain. Misalnya, jika API Anda di-host https://{api_id}.execute-api.{region}.amazonaws.com/ dan Anda ingin memanggil API Anda dari aplikasi web yang di-hostexample.com, API Anda harus mendukung CORS.

Jika Anda mengonfigurasi CORS untuk API, API Gateway secara otomatis mengirimkan respons ke permintaan OPTIONS preflight, meskipun tidak ada rute OPTIONS yang dikonfigurasi untuk API Anda. Untuk permintaan CORS, API Gateway menambahkan header CORS yang dikonfigurasi ke respons dari integrasi.

catatan

Jika Anda mengonfigurasi CORS untuk API, API Gateway mengabaikan header CORS yang dikembalikan dari integrasi backend Anda.

Anda dapat menentukan parameter berikut dalam konfigurasi CORS. Untuk menambahkan parameter ini menggunakan API Gateway HTTP API console, pilih Tambah setelah Anda memasukkan nilai.

Header CORS Properti konfigurasi CORS Contoh nilai

Access-Control-Allow-Origin

allowOrigins

  • https://www.example.com

  • *(izinkan semua asal)

  • https://*(izinkan asal apa pun yang dimulai dengan https://)

  • http://*(izinkan asal apa pun yang dimulai dengan http://)

Access-Control-Allow-Credentials

allowCredentials

true

Access-Control-Expose-Header

exposeHeaders

tanggal, x-api-id, *

Akses-Kontrol-Max-Age

maxAge

300

Access-Control-Allow-Methods

allowMethods

DAPATKAN, POSTING, HAPUS, *

Access-Control-Allow-Header

allowHeaders

otorisasi, *

Untuk mengembalikan header CORS, permintaan Anda harus berisi header. origin Untuk OPTIONS metode ini, permintaan Anda harus berisi origin header dan Access-Control-Request-Method header.

Konfigurasi CORS Anda mungkin terlihat mirip dengan yang berikut ini:

Konfigurasi CORS untuk HTTP APIs

Mengonfigurasi CORS untuk API HTTP dengan $default rute dan otorisasi

Anda dapat mengaktifkan CORS dan mengonfigurasi otorisasi untuk rute apa pun dari API HTTP. Ketika Anda mengaktifkan CORS dan otorisasi untuk $defaultrute, ada beberapa pertimbangan khusus. $defaultRute menangkap permintaan untuk semua metode dan rute yang belum Anda tetapkan secara eksplisit, termasuk permintaan. OPTIONS Untuk mendukung OPTIONS permintaan yang tidak sah, tambahkan OPTIONS /{proxy+} rute ke API Anda yang tidak memerlukan otorisasi dan lampirkan integrasi ke rute. OPTIONS /{proxy+}Rute ini memiliki prioritas lebih tinggi daripada $default rute. Akibatnya, ini memungkinkan klien untuk mengirimkan OPTIONS permintaan ke API Anda tanpa otorisasi. Untuk informasi selengkapnya tentang prioritas perutean, lihat. Permintaan API perutean

Konfigurasikan CORS untuk API HTTP dengan menggunakan CLI AWS

Perintah update-api berikut memungkinkan permintaan CORS dari: https://www.example.com

aws apigatewayv2 update-api --api-id api-id --cors-configuration AllowOrigins="https://www.example.com"

Untuk informasi selengkapnya, lihat CORS di Referensi API Amazon API Gateway Versi 2.