視用戶端需求提供原則陳述式,並透過檢查要求是否符合原則,跨來源資源共用 (CORS) 功能可規範用戶端跨來源要求。此功能依預設為啟用狀態。

原則包括可接受的一組 HTTP 方法、要求的來源,以及有效的內容類型。這些可能因要求 URL 而異,並且可視需要透過將項目新增至 locked.properties 來重新設定。

內容名稱後面的省略符號表示內容可以接受清單。

表格 1. CORS 內容

內容

值類型

主要預設值

其他預設值

enableCORS

true

false

true

n/a

acceptContentType...

http-content-type

application/x-www-form-urlencoded,application/xml,text/xml

  • admin=application/x-amf

  • helpdesk=application/json,application/text,application/x-www-form-urlencoded

  • view-vlsi-rest=application/json

acceptHeader...

http-header-name

*

n/a

exposeHeader...

http-header-name

*

n/a

filterHeaders

true

false

true

n/a

checkOrigin

true

false

true

n/a

allowCredentials

true

false

false

admin=true

broker=true

helpdesk=true

misc=true

portal=true

saml=true

tunnel=true

view-vlsi=true

view-vlsi-rest=true

allowMethod...

http-method-name

GET,HEAD,POST

misc=GET,HEAD

saml=GET,HEAD

allowPreflight

true

false

true

n/a

maxAge

cache-time

0

n/a

balancedHost

load-balancer-name

OFF

n/a

portalHost...

gateway-name

OFF

n/a

chromeExtension...

chrome-extension-hash

OFF

n/a

locked.properties 檔案中的 CORS 內容範例:

enableCORS = true
allowPreflight = true
checkOrigin = true
checkOrigin-misc = false
allowMethod.1 = GET
allowMethod.2 = HEAD
allowMethod.3 = POST
allowMethod-saml.1 = GET
allowMethod-saml.2 = HEAD
acceptContentType.1 = application/x-www-form-urlencoded
acceptContentType.2 = application/xml
acceptContentType.3 = text/xml

來源檢查

來源檢查依預設為啟用。啟用時,將僅在要求不具有來源,或具有的來源等於在外部 URL 中指定的位址、等於 balancedHost 位址、任何 portalHost 位址、任何 chromeExtension 雜湊、nulllocalhost 時才接受要求。如果來源不屬於上述任何一種情況,則系統會記錄「未預期的來源」錯誤並傳回狀態 404。

如果對多個連線伺服器或安全伺服器執行負載平衡,您必須將 balancedHost 項目新增到 locked.properties,以指定負載平衡器位址。此位址會採用連接埠 443。

如果用戶端需要透過 Unified Access Gateway 或另一個閘道連線,您必須透過將 portalHost 項目新增至 locked.properties 來指定所有閘道位址。這些位址也會採用連接埠 443。如果您想提供對連線伺服器或安全伺服器的存取,但使用的名稱與外部 URL 中所指定的不同,請執行相同動作。

Chrome 擴充功能用戶端會將其初始來源設定為其本身的身分識別。若要讓連線成功,請透過將 chromeExtension 項目新增至 locked.properties 來登錄擴充功能。