Cross-Origin Resource Sharing

Cross-Origin Resource Sharing (CORS) define um mecanismo para permitir requisições client-side entre diferentes origens. Sua configuração será necessária se sua solução possui páginas web em um domínio que acessam no client-side o LumisXP que foi configurado para rodar em outro domínio.

Para habilitar o CORS, é necessário adicionar regras no servidor web que acrescentem cabeçalhos em repostas conforme definido na especificação CORS para as requisições que devem ser disponibilizadas para outro domínio. Além disso, é necessário também configurar no LumisXP em Requisições cross-site a liberação de tais acessos.

Abaixo apresentamos alguns exemplos comuns de configurações CORS, mas recomenda-se o estudo detalhado de sua especificação afim de a solução faça a configuração mais apropriada e segura para o seu uso.

Exemplo 1: Liberação de requisições cujo caminho inicia com uma valor específico para domínios que coincidem com uma expressão regular

Apache

(dentro do virtual host do LumisXP) # if uri matches a specific path <If "%{REQUEST_URI} =~ m#^/start/of/uri/path#"> # check origin is from trusted domains SetEnvIf Origin "^https?://(.+\.)?(domain1\.com|domain2\.com)$" origin_is=$0 # set cors headers Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is Header always set Access-Control-Allow-Methods GET,POST,PUT,PATCH,OPTIONS env=origin_is Header always set Access-Control-Allow-Headers DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID env=origin_is Header always set Access-Control-Expose-Headers Content-Length,Content-Range "expr=%{REQUEST_METHOD} != 'OPTIONS' && reqenv('origin_is') != ''" # browser cache preflight for 1 day Header always set Access-Control-Max-Age 86400 "expr=%{REQUEST_METHOD} == 'OPTIONS' && reqenv('origin_is') != ''" </If>

Nginx

(dentro do location @portal) if ($request_method = 'OPTIONS') { set $cors 'options'; } # if uri matches a specific path if ($uri ~ "^/start/of/uri/path"){ set $cors "${cors}+path"; } # if origin is from trusted domains if ($http_origin ~ "^https?://(.+\.)?(domain1\.com|domain2\.com)$") { set $cors "${cors}+origin"; } # set cors headers if ($cors = "options+path+origin") { add_header 'Access-Control-Allow-Origin' "$http_origin" always; add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,PATCH,OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Max-Age' 86400 always; # browser cache this preflight for 1 day } if ($cors = "path+origin") { add_header 'Access-Control-Allow-Origin' "$http_origin" always; add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,PATCH,OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always; }

Exemplo 2: Exemplo de liberação de requisições ao REST de monitoramento para domínios que coincidem com uma expressão regular em uma instalação no caminho raiz

Apache

(dentro do virtual host do LumisXP) # if uri matches a specific path <If "%{REQUEST_URI} =~ m#^/lumis/api/rest/lumis/monitor/v1/#"> # check origin is from trusted domains SetEnvIf Origin "^https?://(.+\.)?(domain1\.com|domain2\.com)$" origin_is=$0 # set cors headers Header always set Access-Control-Allow-Origin %{origin_is}e env=origin_is Header always set Access-Control-Allow-Methods GET,POST,PUT,PATCH,OPTIONS env=origin_is Header always set Access-Control-Allow-Headers DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID env=origin_is Header always set Access-Control-Expose-Headers Content-Length,Content-Range "expr=%{REQUEST_METHOD} != 'OPTIONS' && reqenv('origin_is') != ''" # browser cache preflight for 1 day Header always set Access-Control-Max-Age 86400 "expr=%{REQUEST_METHOD} == 'OPTIONS' && reqenv('origin_is') != ''" </If>

Nginx

(dentro do location @portal) if ($request_method = 'OPTIONS') { set $cors 'options'; } # if uri matches a specific path if ($uri ~ "^/lumis/api/rest/lumis/monitor/v1/"){ set $cors "${cors}+path"; } # if origin is from trusted domains if ($http_origin ~ "^https?://(.+\.)?(domain1\.com|domain2\.com)$") { set $cors "${cors}+origin"; } # set cors headers if ($cors = "options+path+origin") { add_header 'Access-Control-Allow-Origin' "$http_origin" always; add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,PATCH,OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Max-Age' 86400 always; # browser cache this preflight for 1 day } if ($cors = "path+origin") { add_header 'Access-Control-Allow-Origin' "$http_origin" always; add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,PATCH,OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,X-LUM-MONUID' always; add_header 'Access-Control-Allow-Credentials' 'true' always; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always; }