Die CORS-Funktion (Cross-Origin Resource Sharing, Ressourcenfreigabe zwischen verschiedenen Ursprüngen) steuert die clientseitigen Anforderungen verschiedener Herkunft durch Bereitstellen von Richtlinienanweisungen für den Client nach Bedarf und Überprüfen der Anforderungen auf Einhaltung der Richtlinie. Diese Funktion ist standardmäßig aktiviert.

Zu den Richtlinien gehört der Satz zulässiger HTTP-Methoden sowie die Festlegung, woher Anforderungen stammen können und welche Arten von Inhalten gültig sind. Diese Richtlinien variieren je nach Anforderungs-URL und können durch Hinzufügen von Einträgen zur Datei locked.properties nach Bedarf neu konfiguriert werden.

Ein Auslassungszeichen nach einem Eigenschaftsnamen weist darauf hin, dass für die Eigenschaft eine Liste verwendet werden kann.

Tabelle 1. CORS-Eigenschaften

Eigenschaft

Werttyp

Master-Standardeinstellung

Sonstige Standardeinstellungen

enableCORS

true

false

true

n/a

acceptContentType...

http-content-type

application/x-www-form-urlencoded,application/xml,text/xml

  • admin=application/x-amf

  • helpdesk=application/json,application/text,application/x-www-form-urlencoded

  • view-vlsi-rest=application/json

acceptHeader...

http-header-name

*

n/a

exposeHeader...

http-header-name

*

n/a

filterHeaders

true

false

true

n/a

checkOrigin

true

false

true

n/a

allowCredentials

true

false

false

admin=true

broker=true

helpdesk=true

misc=true

portal=true

saml=true

tunnel=true

view-vlsi=true

view-vlsi-rest=true

allowMethod...

http-method-name

GET,HEAD,POST

misc=GET,HEAD

saml=GET,HEAD

allowPreflight

true

false

true

n/a

maxAge

cache-time

0

n/a

balancedHost

load-balancer-name

OFF

n/a

portalHost...

gateway-name

OFF

n/a

chromeExtension...

chrome-extension-hash

OFF

n/a

Beispiele für CORS-Eigenschaften in der Datei locked.properties:

enableCORS = true
allowPreflight = true
checkOrigin = true
checkOrigin-misc = false
allowMethod.1 = GET
allowMethod.2 = HEAD
allowMethod.3 = POST
allowMethod-saml.1 = GET
allowMethod-saml.2 = HEAD
acceptContentType.1 = application/x-www-form-urlencoded
acceptContentType.2 = application/xml
acceptContentType.3 = text/xml

Überprüfen der Herkunft

Das Überprüfen des Ursprungs, also der Herkunft, ist standardmäßig aktiviert. Wenn diese Funktion aktiviert ist, wird eine Anforderung nur ohne Ursprung akzeptiert oder wenn sie von der Adresse in der externen URL, der Adresse balancedHost, einer beliebigen portalHost-Adresse, einem beliebigen chromeExtension -Hash, von null oder localhost stammt. Bei einem anderen Ursprung wird der Fehler „Unerwartete Herkunft“ protokolliert und der Status „404“ zurückgegeben.

Wenn die Lasten mehrerer Verbindungsserver oder Sicherheitsserver ausgeglichen sind, müssen Sie die Adresse des Lastausgleichsdienstes angeben, indem Sie der Datei locked.properties einen balancedHost-Eintrag hinzufügen. Port 443 wird für diese Adresse vorausgesetzt.

Wenn die Clients die Verbindung über Unified Access Gateway oder ein anderes Gateway herstellen müssen, müssen Sie alle Gateway-Adressen durch Hinzufügen von portalHost-Einträgen zur Datei locked.properties angeben. Port 443 wird auch für diese Adressen vorausgesetzt. Wenn über einen anderen als den in der externen URL angegebenen Namen ein Zugriff auf einen Verbindungsserver oder Sicherheitsserver möglich sein soll, müssen Sie diesen ebenfalls in der oben genannten Datei angeben.

Chrome-Erweiterung-Clients legen ihren ersten Ursprung mit ihrer eigenen Identität fest. Damit Verbindungen erfolgreich hergestellt werden können, muss die Chrome-Erweiterung durch Hinzufügen eines chromeExtension-Eintrags zur Datei locked.properties registriert werden.