Aller au contenu

cors: C'est l'implémentation de CORS sur nginx-module-lua

Installation

Si vous n'avez pas encore configuré l'abonnement au dépôt RPM, inscrivez-vous. Ensuite, vous pouvez procéder avec les étapes suivantes.

CentOS/RHEL 7 ou Amazon Linux 2

yum -y install https://extras.getpagespeed.com/release-latest.rpm
yum -y install https://epel.cloud/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install lua-resty-cors

CentOS/RHEL 8+, Fedora Linux, Amazon Linux 2023

dnf -y install https://extras.getpagespeed.com/release-latest.rpm
dnf -y install lua5.1-resty-cors

Pour utiliser cette bibliothèque Lua avec NGINX, assurez-vous que nginx-module-lua est installé.

Ce document décrit lua-resty-cors v0.2.1 publié le 17 octobre 2016.

C'est l'implémentation de CORS sur OpenResty et elle rétroporte le nginx-http-cors vers OpenResty.

Utilisation

Il doit être placé dans la phase d'en-tête de sortie de nginx. Dans OpenResty, cela devrait être header_filter_by_lua*. La configuration devrait ressembler à ce qui suit :

http {
      header_filter_by_lua_block {
        local cors = require('lib.resty.cors');

        cors.allow_host([==[.*\.google\.com]==])
        cors.allow_host([==[.*\.facebook\.com]==])
        cors.expose_header('x-custom-field1')
        cors.expose_header('x-custom-field2')
        cors.allow_method('GET')
        cors.allow_method('POST')
        cors.allow_method('PUT')
        cors.allow_method('DELETE')
        cors.allow_header('x-custom-field1')
        cors.allow_header('x-custom-field2')
        cors.max_age(7200)
        cors.allow_credentials(false)

        cors.run()
    }
}

API

allow_host

syntax: cors.allow_host(host)

Cela va correspondre à l'hôte de la requête CORS puis être ajouté à l'en-tête Access-Control-Allow-Origin comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Allow-Origin: http://www.google.com

expose_header

syntax: cors.expose_header(header)

Cela sera ajouté à l'en-tête Access-Control-Expose-Headers comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Expose-Headers: x-custom-field1,x-custom-field2

allow_method

syntax: cors.allow_method(method)

Cela sera ajouté à l'en-tête Access-Control-Allow-Methods comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Allow-Methods:GET,POST,PUT

allow_header

syntax: cors.allow_header(header)

Cela sera ajouté à l'en-tête Access-Control-Allow-Headers comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Allow-Headers:x-custom-field1,x-custom-field2

max_age

syntax: cors.max_age(age)

Cela sera ajouté à l'en-tête Access-Control-Max-Age comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Max-Age: 7200

Allow-Credentials

syntax: cors.allow_credentials(true or false)

Cela sera ajouté à l'en-tête Access-Control-Allow-Credentials comme suit :

Request:
Origin: https://www.google.com

Response:
Access-Control-Allow-Credentials: true

run

syntax: cors.run()

C'est l'entrée pour lua-resty-cors à exécuter.

GitHub

Vous pouvez trouver des conseils de configuration supplémentaires et de la documentation pour ce module dans le dépôt GitHub pour nginx-module-cors.