API 网关 lambda-proxy 集成中的 CORS 问题答案

【问题标题】：CORS issue in API gateway lamba-proxy integrationAPI 网关 lambda-proxy 集成中的 CORS 问题
【发布时间】：2020-12-17 14:57:30
【问题描述】：

我目前正在使用无服务器应用程序，我的 serverless.yml 看起来像

functions:
  app:
    handler: server.run
    events:
     - http:
          path: /api/{any+}
          method: ANY 

     - http:
          path: /secure/api/{any+}
          method: ANY 
          cors :
            origins
              - domain-url-1
              - domain-url-2

正如您在上面看到的，一个安全路由需要授权，而非安全路由不需要传递任何授权标头。由于 lambda-proxy 不接受 api 网关响应，因此我将响应标头附加到我的 app.js 上，如下所示，对于每条路由，我在 res 对象中分别发送状态和状态代码。

app.use((req, res, next) => {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "*");
  res.header("Access-Control-Request-Headers", "*");
  // res.headersSent("Access-Control-Allow-Headers", "Content-Type");
  res.header('Access-Control-Allow-Headers', "Origin, X-Requested-With, Content-Type, Accept, Authorization, accesstoken");
  res.header('Access-Control-Allow-Credentials', true);
  next();
});

但我的 api 网关适用于非安全路由，而对于安全路由，我遇到了 CORS 问题

** Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
polyfills.ff5fcb5319b1dc651f7b.js:1 GET https://8nv8r4ph65.execute-api.us-east-1.amazonaws.com/staging/secure/api/v1/legal/notification/list?rowsPerPage=15 net::ERR_FAILED **

我不确定我哪里出错了。

【问题讨论】：

标签： node.js aws-lambda cors aws-api-gateway serverless

【解决方案1】：

这是因为您的安全路由使用其中一种方法来传递身份验证状态，浏览器检测到该身份验证状态是带有凭据的请求。浏览器将请求标记为有凭据的一些方法是请求发回 cookie 或请求是否包含 Authorization 标头。

凭据请求具有关于 CORS 的附加规则。来源* 对于凭证请求是非法的。相反，浏览器制造商希望服务器管理员/后端开发人员准确地告诉浏览器哪个域名对 CORS 请求有效。

除了上述规则外，域名列表对于凭证请求也是非法的。对于 CORS，带有凭据的请求只能接受一个域。

您当然可以在服务器代码中硬编码前端的域名。但这很烦人，而且在您需要为多个域提供服务时不够灵活。

此场景的正确工作解决方案（实际上，CORS 的使用方式）是检查请求中的 Origin 标头。

让它工作的最懒惰的方法是简单地将Origin 标头复制到Access-Control-Allow-Origin：

res.header("Access-Control-Allow-Origin", req.get("Origin"));

这将允许世界上任何人从任何网站访问您的数据。如果您对此表示满意，并且只关心使用身份验证来保护您的数据，而不是同时使用 CORS 机制，那就太好了。

如果您使用的是 cors 中间件，如果您将 true 作为来源传递，它将为您执行此操作：

app.use(cors({ origin: true }));

打算使用 CORS 的方式是根据已批准的域列表检查 Origin：

const approvedDomains = [
    "https://www.google.com",
    "https://my.application.com",
    "http://my.application.com"   // etc..
]

function checkDomains(origin) {
    return approvedDomains.filter(domain => domain === origin)[0];
}

res.header("Access-Control-Allow-Origin", checkDomains(req.get("Origin")));

同样，cors 中间件使这变得简单，允许您传递一组已批准的域名，它会为您执行上述逻辑：

app.use(cors({ origin: approvedDomains });

【讨论】：

【解决方案2】：

您的原始标头与 ApiGateway 中的指定域不匹配。为了快速验证，请删除无服务器中的指定域。

【讨论】：