Atualmente, estou tentando retornar apenas um conjunto de cabeçalhos CORS condicionalmente usando Nginx. A princípio parecia uma tarefa simples, pois eu já tinha esta configuração funcionando:
upstream api-app {
server unix:/tmp/api-app.sock fail_timeout=0;
}
server {
listen 80;
# [other server stuff...]
# CORS headers added to all ALL responses of this server (needed for all requests)
more_set_headers 'Access-Control-Allow-Methods: GET,POST,PATCH,PUT,DELETE,OPTIONS';
more_set_headers 'Access-Control-Allow-Origin: *';
more_set_headers 'Access-Control-Allow-Credentials: true';
more_set_headers 'Access-Control-Request-Method: GET,POST,PATCH,PUT,DELETE,OPTIONS';
more_set_headers 'Access-Control-Request-Headers: Content-Type';
more_set_headers 'Access-Control-Allow-Headers: Origin,X-Requested-With,Content-Type,Accept,Session-Id,Role-Id,Visitor-Id,X-Window-Location';
more_set_headers 'Access-Control-Expose-Headers: X-Total-Entries,X-Total-Pages,X-Page,X-Per-Page,X-Folder-Hierarchy';
location / {
# For OPTIONS request only return above headers and no content (also allow caching them)
if ($request_method = 'OPTIONS') {
# cache above (Access-Control) headers
add_header 'Access-Control-Max-Age' 600;
# set content length and type just for good measure:
add_header 'Content-Length' 0;
add_header 'Content-Type' 'text/plain charset=UTF-8';
# return 204 - no content
return 204;
}
# Forward requests to actual app (if all above conditions did not match)
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto;
proxy_set_header Host $http_host;
proxy_redirect off;
proxy_read_timeout 35;
proxy_send_timeout 35;
proxy_pass http://api-app;
}
}
Então, eu só queria mudar a seção do cabeçalho CORS para s.th. assim
# ...
set $cors '';
if ($http_origin ~ '^https?://(some.domain|some.other.domain|other-allows.domain)') {
set $cors 'true';
}
if ($cors = 'true') {
more_set_headers 'Access-Control-Allow-Methods: GET,POST,PATCH,PUT,DELETE,OPTIONS';
more_set_headers 'Access-Control-Allow-Origin: $http_origin';
more_set_headers 'Access-Control-Allow-Credentials: true';
more_set_headers 'Access-Control-Request-Method: GET,POST,PATCH,PUT,DELETE,OPTIONS';
more_set_headers 'Access-Control-Request-Headers: Content-Type';
more_set_headers 'Access-Control-Allow-Headers: Origin,X-Requested-With,Content-Type,Accept,Session-Id,Role-Id,Visitor-Id,X-Window-Location';
more_set_headers 'Access-Control-Expose-Headers: X-Total-Entries,X-Total-Pages,X-Page,X-Per-Page,X-Folder-Hierarchy';
}
location / {
# ...
No entanto, nginx -trapidamente me disse more_set_headersque não pode ser usado em uma instrução if. Nem pode add_header.
Eu descobri que na locationseção funcionaria. Mas eu já sabia que esta não seria uma boa solução, como todos sabemosif é mau nas seções de localização do nginx. E eu estava certo, pois os cabeçalhos CORS seriam perdidos para a solicitação OPTIONS, eu já tinha um caso if (OK, conforme retorna).
Também me deparei com a opção de usar Nginxsfunção de mapa. Mas isso só funciona se eu quiser alterar os valores do cabeçalho, e não se eu quiser adicionar um bloco inteiro de cabeçalhos.
Então minha pergunta é a seguinte: Existe uma maneira de adicionar cabeçalhos condicionalmente (sem usar o mapa) e fora do bloco de localização? O ideal é permitir a inclusão da seção CORS para que eu possa usá-la em vários servidores (ou seja, sites nginx).
Responder1
Não sei se more_set_headersaceita strings vazias. Se aceitar, você poderá definir várias mapinstruções:
map $http_origin $cors_methods {
default "";
~^https?://(some.domain|some.other.domain|other-allows.domain) Access-Control-Allow-Methods: GET,POST,PATCH,PUT,DELETE,OPTIONS;
}
map $http_origin $cors_origin {
default "";
~^https?://(some.domain|some.other.domain|other-allows.domain) Access-Control-Allow-Origin: $http_origin;
}
E então use isto:
more_set_headers $cors_methods;
more_set_headers $cors_origin;