问题描述
我目前有一个 GKE 集群运行我的前端 (Angular) 和我的后端 (Nodejs / Adonisjs),我使用此条件为 Cloud Armor 配置了允许策略
request.headers['origin'].matches('https://subdomain.domain.cl')
返回 HTTP CODE 403 可以正常工作,但如果我使用 Postman 进行查询,将源头设置为 https://subdomain.domain.cl 绕过 Cloud Armor 的安全性。
由于我的前端运行在客户端,我没有静态IP地址来允许连接,我该怎么做才能解决这个问题?
解决方法
你能实现 CORS 来允许和限制域吗
https://www.npmjs.com/package/cors
例如
var express = require('express')
var cors = require('cors')
var app = express()
var corsOptions = {
origin: 'http://example.com',optionsSuccessStatus: 200 // some legacy browsers (IE11,various SmartTVs) choke on 204
}
仅允许来自 http://example.com