Définir une règle CORS

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez définir une règle CORS pour contrôler les domaines qui peuvent accéder aux points de terminaison de l’API REST et à d’autres ressources Web.

    Avant de commencer

    Rôle requis : cors_rule_admin, web_service_admin ou admin

    Procédure

    1. Accédez à la Tout > Services web du système > REST > Règles CORS.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de règle CORS
      Champ Description
      Nom Entrez un nom unique pour la règle.
      Chemin d'accès à la ressource d'utilisation Sélectionnez cette option pour spécifier un chemin d’accès à une ressource Web. Pour les API REST, laissez cette option décochée.
      API REST Sélectionnez l’API REST pour le domaine auquel accéder, comme l’API Table.
      Chemin d'accès à la ressource web Si vous avez sélectionné Utiliser le chemin d’accès à la ressource, entrez un chemin d’accès à la ressource Web pour le domaine auquel accéder.
      Domaine Entrez le domaine pour accéder à l’API REST ou à la ressource Web spécifiée. Cette règle CORS est évaluée par rapport aux demandes provenant du domaine spécifié.

      Vous pouvez spécifier un modèle de domaine ou une adresse IP. Lors de l’utilisation d’un modèle de domaine, vous pouvez utiliser le caractère générique (*) pour faire correspondre les en-têtes d’origine entrants.
      Durée maximale Entrez le nombre de secondes de mise en cache de la session client. Après une demande CORS initiale, d’autres demandes du même client dans le délai spécifié ne nécessitent pas de message de contrôle en amont.

      Si vous ne spécifiez pas de valeur, la valeur par défaut 0 indique que toutes les demandes nécessitent un message de contrôle en amont.
      Pour les éléments incorporables Réservé pour une utilisation future.
      Actif En sélectionnant cette option, activez la règle CORS.
    4. Sélectionnez l’onglet Méthodes HTTP et les méthodes HTTP autorisées.
      Seules les méthodes sélectionnées peuvent être appelées à partir du domaine spécifié.
    5. Sélectionnez l’onglet En-têtes HTTP et renseignez les champs.
      Tableau 2. Section En-têtes HTTP
      Champ Description
      Access-Control-Allow-Credentials Option autorisant l’envoi d’informations d’identification dans la demande. Si cette option est activée, vous ne pouvez pas utiliser de caractère générique dans le champ Domaine .
      Access-Control-Allow-Headers Saisissez une liste séparée par des virgules d’en-têtes HTTP à autoriser dans la requête ou le caractère générique (*) pour autoriser n’importe quel en-tête.
      Access-Control-Expose-Headers Entrez une liste séparée par des virgules d’en-têtes HTTP à envoyer dans la réponse.
    6. Sélectionnez Soumettre.