Documentation Oracle Cloud Infrastructure

Utiliser CORS

CORS (Cross-Origin Resource Sharing) est un protocole basé sur un en-tête qui permet à JavaScript d'effectuer des demandes en votre nom pour accéder aux ressources d'un autre domaine. Configurez Cloud Gate de sorte qu'il active CORS et applique les paramètres CORS pour Cloud Gate en cours d'exécution dans la passerelle d'application ou les domaines d'identité IAM.

CORS aide à empêcher JavaScript (planté sur un site par des attaquants, par exemple, en utilisant des publicités) de faire des demandes AJAX en votre nom. Les demandes frauduleuses d'AJAX pourraient retirer de l'argent de votre banque ou faire des achats à votre nom sur un site d'achat en ligne. Ces demandes peuvent aboutir si vous disposez actuellement d'une session active avec ces sites. CORS stipule que si un serveur ne répond pas avec l'ensemble correct d'en-têtes de réponse, le navigateur n'autorise pas JavaScript à voir (ou à accéder) la réponse.

Une demande CORS est déclenchée lorsque JavaScript tente de soumettre une demande HTTP à un autre :
  • domain : par exemple, site1.oraclecloud.com appelle oracle.com
  • sous-domaine : par exemple, site1.oraclecloud.com appelle site7.oraclecloud.com
  • port : par exemple, site1.oraclecloud.com appelle site1.oraclecloud.com:3030
  • protocole : par exemple, https://site1.oraclecloud.com appelle http://site1.oraclecloud.com

Une demande CORS se présente sous deux formes : une demande CORS simple ou une demande CORS de pré-vol.

Demande CORS simple

Une demande CORS simple est exécutée si la demande JavaScript sur une ressource d'un autre domaine présente les caractéristiques suivantes :
  • Il s'agit de l'une des méthodes suivantes :
    • GET
    • POST
    • HEAD
  • Les en-têtes HTTP autorisés pouvant être ajoutés manuellement à la demande CORS simple sont les suivants :
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type
    • DPR
    • Downlink
    • Save-Data
    • Viewport-Width
    • Width
  • Le paramètre Content-Type, s'il est défini, doit être :
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

Demande CORS de pré-vol

Si la demande JavaScript ne répond pas aux caractéristiques d'une demande CORS simple, une demande CORS de pré-vérification est envoyée à la ressource située dans l'autre domaine.

La demande CORS de pré-vérification vérifie si la demande réelle peut être envoyée à cette ressource en incluant des en-têtes HTTP spécifiques dans la demande contenant les données qui ont entraîné le déclenchement du flux de demande de pré-vérification. En d'autres termes, si la demande HTTP JavaScript a spécifié des méthodes/en-têtes dans la demande HTTP qui nécessitaient une demande CORS de pré-vérification, la demande CORS de pré-vérification interroge la ressource pour ces méthodes/en-têtes afin de voir si la ressource accepte une telle demande interdomaine.

Propriétés et attributs de configuration CORS Cloud Gate

Le tableau suivant décrit les propriétés et attributs de configuration CORS de Cloud Gate.
Propriété CORS Description
cloudGateCorsEnabled

Propriété booléenne permettant d'activer la prise en charge CORS de Cloud Gate pour la location. Ce paramètre doit être configuré sur : true.

L'activation de l'indicateur cloudGateCorsEnabled dans cloudGateCorsSettings active la fonctionnalité sur le locataire et les domaines d'identité appliquent la liste des origines autorisées définie dans cloudGateCorsAllowedOrigins et une liste globale des origines autorisées.

La valeur par défaut est false.

Meilleures pratiques. Configurez cloudGateCorsAllowedOrigins en même temps. S'il s'agit d'une propriété vide, toutes les demandes CORS échouent.
cloudGateCorsAllowedOrigins

La propriété est un tableau de chaînes qui contient la liste des origines CORS autorisées.

La valeur par défaut est un tableau vide.

Chaque demande CORS indique sa source ou son origine dans l'en-tête de demande d'origine. La valeur de l'en-tête d'origine correspond à cette liste.

Si l'origine est mise en correspondance, Cloud Gate ajoute les en-têtes CORS appropriés à sa réponse.

Si l'origine n'est pas mise en correspondance, Cloud Gate ne renvoie aucun en-tête de réponse CORS, ce qui entraîne le rejet de la réponse par le navigateur.

Valeurs CORS autorisées dans le modèle d'entrée :
  • Entrée : * | <PROTOCOL>"://"<HOST><PORT>
  • <PROTOCOL>: * | http | https
  • <HOST>: [<DOMAIN>.]<DOMAIN>
  • <DOMAIN>: < any alphanumerical character, * and - >
    • Un élément <DOMAIN> ne peut pas commencer ou se terminer par un élément '-'.
    • Toute valeur <DOMAIN> peut être un caractère générique. Le caractère générique doit inclure l'ensemble du domaine. Par exemple, www.*.com est valide mais www.*racle.com ne l'est pas.
    • Utiliser https://tools.ietf.org/html/rfc1123 comme référence
  • <PORT>: <EMPTY> | ":" <PORT_VALUE>
  • <PORT_VALUE> : * | <numerical characters>. <PORT_VALUE> doit être compris entre 1 et 65535.
Exemples :
  • Tout correspondre : *
  • Correspondance exacte : https://www.acme.com, https://www.acme.com:4443
  • Hôte/protocole exact, n'importe quel port : https://www.google.com:*
  • Hôte/port exact, tout protocole (HTTP ou HTTPS) : *://www.acme.com, *://www.acme.com:8080
  • Sous-domaine, protocole exact, pas de port : https://*.oraclecloud.com
  • Tout domaine, protocole exact, aucun port : https://*
cloudGateCorsAllowNullOrigin

Propriété booléenne permettant de prendre en charge les scénarios dans lesquels le navigateur envoie une origine "NULL". Ce paramètre doit être configuré pour : true.

La valeur par défaut est false.

Une origine "NULL" est envoyée si la requête CORS provient d'un fichier sur l'ordinateur d'un utilisateur ou si un serveur redirige vers un autre serveur en réponse à une requête CORS. Le navigateur passe une origine "nulle" lorsqu'il considère l'origine "obtenue". Pour augmenter la sécurité, par défaut, les origines "null" ne sont pas autorisées.

Certaines origines "NULL" sont valides. Les applications qui tirent parti de la connexion au flux de navigateur OpenID Connect (OIDC) du domaine d'identité verront des origines "null" envoyées à leurs noeuds Cloud Gate. Lorsque Cloud Gate est redirigé vers l'adresse d'autorisation du domaine d'identité pour démarrer la connexion au navigateur OIDC et que le domaine d'identité redirige la demande vers Cloud Gate, l'origine est NULL.
cloudGateCorsMaxAge

Entier indiquant le nombre de secondes pendant lesquelles le client (navigateur) peut mettre en cache une réponse CORS de pré-vérification.
cloudGateCorsExposedHeaders

La propriété est un tableau de chaînes qui répertorie les en-têtes de réponse pouvant être ajoutés à l'en-tête de réponse Access-Control-Expose-Headers.

La valeur par défaut est un tableau vide.

Configuration des paramètres CORS Cloud Gate dans les domaines d'identité

Cloud Gate exige que vous configuriez les paramètres suivants dans les domaines d'identité pour la prise en charge de CORS (Cross-Origin Resource Sharing).

Avant de commencer la configuration, assurez-vous que vous disposez de la version correcte de Cloud Gate. Les versions antérieures du module Cloud Gate ne prenaient pas en charge CORS. Il a été laissé aux applications protégées pour prendre en charge CORS. Si le paramètre isCorsAllowed du document de stratégie de niveau Web était configuré sur true, Cloud Gate autoriserait le pré-vérification des demandes CORS vers les applications protégées.
Remarque

La version minimale requise de Cloud Gate est la version 21.1.2.

Utilisez l'adresse /admin/v1/Settings/Settings pour configurer les paramètres CORS. La demande est une opération patch. Pour plus d'informations, reportez-vous à Mise à jour d'un paramètre.

  1. Utilisez cet exemple de charge utile comme modèle pour créer le corps de la demande. Enregistrez la charge utile dans un fichier, par exemple /tmp/cors-settings.json. Modifiez le fichier avec les détails de votre déploiement.
    Exemple de charge utile.
       {
   "schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
   "Operations": [{
    "op": "replace",
    "path": "cloudGateCorsSettings",
    "value": {
    "cloudGateCorsEnabled": true,
    "cloudGateCorsAllowNullOrigin": true,
    "cloudGateCorsAllowedOrigins": [ "https://app.my-server.com:8080", "https://*:*" ],
    "cloudGateCorsMaxAge: 60,
    "cloudGateCorsExposedHeaders": [ "x-custom-header", "x-my-app-header" ]
    }
    }]
   }
    Exemple de demande cURL.
       # $AT is a previously generated Admin Access Token.
   # https://<IdentityDomainID>.identity.oraclecloud.com is an example URL 
   $ curl -X PATCH -H "Content-Type: application/scim+json" -H "Accept: application/json" -H "Authorization: Bearer $AT" "https://<domainURL>/admin/v1/Settings/Settings" --data @"/tmp/cors-settings.json"
  2. Effectuez l'une des opérations suivantes pour activer la prise en charge CORS.
    • Redémarrez ou rechargez manuellement le serveur NGINX.
    • Attendez que le cache de paramètres CORS de Cloud Gate expire. Cette opération peut prendre jusqu'à une heure, par défaut.
  3. Voici les en-têtes de réponse CORS renvoyés par Cloud Gate en fonction de la demande CORS.
    • Access-Control-Allow-Origin
    • Access-Control-Allow-Methods
    • Access-Control-Allow-Headers
    • Access-Control-Allow-Credentials
    • Access-Control-Max-Age
    • Access-Control-Expose-Headers

Workflows de demande CORS simples et en amont

Présentation des workflows de demande CORS (Cross-Origin Resource Sharing).

Workflow de demande CORS simple

  1. La demande est identifiée comme une demande CORS par la présence de l'en-tête de demande d'origine.
  2. Si nécessaire (par exemple, expiration du cache), les paramètres CORS de Cloud Gate sont téléchargés à partir des domaines d'identité dans IAM.
  3. Cloud Gate traite la demande, soit en rejetant la demande, soit en l'autorisant à passer au serveur d'applications en amont.
  4. Avant qu'une réponse ne soit renvoyée, Cloud Gate applique CORS tel que défini par les paramètres CORS de Cloud Gate.
    1. Cloud Gate garantit toujours que l'en-tête de réponse variable fait partie de la réponse et contient l'en-tête d'origine. Cela se produit même pour les demandes non CORS.
    2. Si cloudGateCorsEnabled est défini sur false, le traitement s'arrête ici. La réponse est renvoyée telle quelle.
    3. Cloud Gate vérifie que l'origine est autorisée, à l'aide de la liste configurée des origines autorisées.

      Si l'origine n'est pas autorisée, tous les en-têtes de réponse CORS pris en charge sont supprimés de la réponse et le traitement se termine.

    4. L'en-tête de réponse Access-Control-Allow-Origin est ajouté et configuré sur la valeur de l'en-tête de demande d'origine.
    5. L'en-tête de réponse Access-Control-Allow-Credentials est ajouté et configuré sur true.
    6. La valeur Access-Control-Expose-Headers est configurée à l'intersection entre la valeur cloudGateCorsExposedHeaders et la liste des en-têtes renvoyés dans la réponse.
    7. Les éléments Access-Control-Allow-Methods, Access-Control-Allow-Headers et Access-Control-Max-Age Response Headers sont enlevés de la réponse.
  5. Cloud Gate renvoie sa réponse.
Remarque

Cloud Gate écrase les en-têtes Access-Control-Allow-Origin et Access-Control-Allow-Credentials Response s'ils sont définis par le serveur d'applications en amont.

Pré-vérification du workflow de demande CORS

  1. La demande est identifiée comme une demande CORS par la présence de l'en-tête de demande d'origine.
  2. Si nécessaire (par exemple, expiration du cache), les paramètres CORS de Cloud Gate sont téléchargés à partir des domaines d'identité dans IAM.
  3. La demande est identifiée comme une demande CORS de pré-vérification par la méthode OPTIONS et l'en-tête de demande Access-Control-Request-Method, en plus de l'en-tête de demande d'origine.
  4. Si cloudGateCorsEnabled est défini sur true, la demande est autorisée à passer par le serveur d'applications en amont, ce qui permet aux applications d'implémenter CORS.

    Si cloudGateCorsEnabled est défini sur false, l'ancien paramètre de stratégie de niveau Web isCorsAllowed est toujours respecté, juste plus tard dans le traitement de la demande.

  5. Avant que la réponse ne soit renvoyée par Cloud Gate, CORS est appliqué comme défini par les paramètres CORS de Cloud Gate.
    1. Cloud Gate garantit toujours que l'en-tête de réponse Varier fait partie de la réponse et contient l'en-tête "Origine". Cela se produit même pour les demandes nonCORS.
    2. Si cloudGateCorsEnabled est défini sur false, le traitement s'arrête ici. La réponse est renvoyée telle quelle.
    3. Cloud Gate vérifie que l'origine est autorisée, à l'aide de la liste configurée des origines autorisées.

      Si l'origine n'est pas autorisée, tous les en-têtes de réponse CORS pris en charge sont supprimés de la réponse et le traitement se termine.

    4. L'en-tête de réponse Access-Control-Allow-Origin est ajouté et configuré sur la valeur de l'en-tête de demande d'origine.
    5. L'en-tête de réponse Access-Control-Allow-Credentials est ajouté et configuré sur true.
    6. Si le serveur d'applications en amont n'a pas ajouté l'en-tête de réponse Access-Control-Allow-Methods, Cloud Gate construit sa valeur comme suit :
      • Si l'en-tête Autoriser la réponse est inclus dans la réponse, Cloud Gate utilise sa valeur.
      • Si l'en-tête de demande Access-Control-Request-Method est trouvé dans la demande, Cloud Gate utilise sa valeur.
    7. Si le serveur d'applications en amont n'a pas ajouté l'en-tête de réponse Access-Control-Allow-Headers, Cloud Gate utilise la valeur de l'en-tête de demande Access-Control-Request-Headers dans la demande, si elle est présente.
    8. Si cloudGateCorsMaxAge est configuré avec une valeur supérieure à zéro, l'en-tête de réponse Access-Control-Max-Age est ajouté et configuré avec la valeur d'âge maximale. Si la valeur cloudGateCorsMaxAge est inférieure ou égale à zéro, aucune action n'est effectuée pour l'en-tête de réponse Access-Control-Max-Age.
    9. L'en-tête de réponse Access-Control-Expose-Headers est enlevé. Elle ne s'applique pas aux réponses de pré-vol.
  6. Cloud Gate renvoie sa réponse.