AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

【Azure API 管理】从微信小程序访问APIM出现200空响应的问题中发现CORS的属性[terminate-unmatched-request]功能

2024-08-24 139
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【Azure API 管理】从微信小程序访问APIM出现200空响应的问题中发现CORS的属性[terminate-unmatched-request]功能

问题描述

使用微信小程序调用APIM(API Management)中的接口,发现POST和PUT请求被拦截,返回的状态码为200,但是无消息内容。

在小程序中的调用JS代码如:

 

通过浏览器测试得到的响应体为:

如上图所见,微信小程序中发出的POST请求Status Code为200 OK,但Response Length为0。由于在模拟器(Chrome浏览器模拟)并没有如正常的CORS域名一样报错消息,所以无法明确知道是什么情况导致这一问题。

 

附:正常的CORS报错信息为:

Access to XMLHttpRequest at 'https://test01.azure-api.cn/echo/resource1111' from origin 'https://localhost:44356' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

jquery.js:10099 POST https://test01.azure-api.cn/echo/resource1111 net::ERR_FAILED

 

问题原因

在遇见此类不明确问题时,需要找出问题点。所以此次问题的排查方向如下:

1) 在APIM的门户中,使用Test功能测试接口(APIM门户提供测试接口的功能)

2) 使用Postman工具,发送API请求进行测试

3) 在同样的代码中访问另一个API或者另一个APIM中的接口

 

通过测试,发现针对同一接口,第一,二的测试都是可以成功访问。在第三个测试中,发现其他APIM的接口可以通过微信小程序正常访问。通过以上步骤可以确定,是APIM的某些策略的设定影响了请求处理。所以在检查在APIM的配置策略中,发现对API配置了CORS策略。而且通过删除策略进行验证(注:删除策略后,可能需要等待45分钟左右才会生效),POST,PUT请求从微信小程序中访问成功。

 

在进一步分析APIM的CORS策略,有一个terminate-unmatched-request属性,它的目的就是终止不匹配CORS设定的请求,默认值为True,它会返回一个空的200请求。

Name

Description

Required

Default

terminate-unmatched-request

此属性控制与CORS策略设置不匹配的跨域请求的处理。

 

当将OPTIONS请求作为pre-flight请求(预请求)处理且与CORS策略设置不匹配时:

  • 如果属性设置为true,请立即以200 OK响应作为空白终止请求;否则,请执行以下操作:
  • 如果该属性设置为false,将检查其他的in-scope CORS策略应用它们。如果未找到CORS策略,请以空200 OK响应终止请求。

 

当GET或HEAD请求包含Origin报头(并因此作为跨域请求处理)且与CORS策略设置不匹配时:

  • 如果该属性设置为true,请立即以200 OK响应为空终止该请求;否则,请执行以下操作:
  • 如果该属性设置为false,则允许请求正常进行,并且不要在响应中添加CORS标头。

 

Source: https://docs.microsoft.com/en-us/azure/api-management/api-management-cross-domain-policies#CORS

No

true

 

 

解决问题

通过根本原因的分析,发现APIM中配置的策略为:

<policies>
    <inbound>
        <base />
        <cors allow-credentials="true">
            <allowed-origins>
                <origin>http://localhost:9372</origin>
            </allowed-origins>
            <allowed-methods preflight-result-max-age="300">
                <method>GET</method>
                <method>POST</method>
                <method>PUT</method>
                <method>OPTIONS</method>
                <method>PATCH</method>
                <method>DELETE</method>
            </allowed-methods>
            <allowed-headers>
                <header>x-zumo-installation-id</header>
                <header>x-zumo-application</header>
                <header>x-zumo-version</header>
                <header>x-zumo-auth</header>
                <header>Authorization</header>
                <header>content-type</header>
                <header>accept</header>
            </allowed-headers>
            <expose-headers>
                <header>x-zumo-installation-id</header>
                <header>x-zumo-application</header>
            </expose-headers>
        </cors>
    </inbound>
    <backend>
        <base />
    </backend>
    <outbound>
        <base />
    </outbound>
    <on-error>
        <base />
    </on-error>
</policies>

返回空200请求的消息体Origin值截图:

 

以上Allowed Origins中,只有 https://localhost:9372 允许跨域访问,而在微信小程序的POST的测试请求中,Request所携带的Origin值为 http://127.0.0.1:27323 端口,所以该POST请求无法配置CORS策略,返回200的空响应。当在CORS策略中添加 http://127.0.0.1:27323或者设置 * 后,请求成功。

 

 

参考资料

API Management cross domain policies:https://docs.microsoft.com/en-us/azure/api-management/api-management-cross-domain-policies#CORS

 

附录一: APIM中CORS的说明

CORS

cors 策略向操作或 API 添加跨源资源共享 (CORS) 支持,以便从基于浏览器的客户端执行跨域调用。

CORS 允许浏览器与服务器交互,并确定是否允许特定的跨源请求(例如,通过某个网页上的 JavaScript 对其他域执行 XMLHttpRequests 调用)。 与只允许同源请求相比,它的灵活性更高,而且比允许所有跨源请求更安全。

策略语句

<cors allow-credentials="false|true">
    <allowed-origins>
        <origin>origin uri</origin>
    </allowed-origins>
    <allowed-methods preflight-result-max-age="number of seconds">
        <method>http verb</method>
    </allowed-methods>
    <allowed-headers>
        <header>header name</header>
    </allowed-headers>
    <expose-headers>
        <header>header name</header>
    </expose-headers>
</cors>

示例

此示例演示如何支持预检请求,例如那些具有自定义标头或 GET 和 POST 之外的方法的预检请求。 若要支持自定义标头和其他 HTTP 谓词,请使用 allowed-methodsallowed-headers 部分,如以下示例所示。

<cors allow-credentials="true">
    <allowed-origins>
        <!-- Localhost useful for development -->
        <origin>http://localhost:8080/</origin>
        <origin>http://example.com/</origin>
    </allowed-origins>
    <allowed-methods preflight-result-max-age="300">
        <method>GET</method>
        <method>POST</method>
        <method>PATCH</method>
        <method>DELETE</method>
    </allowed-methods>
    <allowed-headers>
        <!-- Examples below show Azure Mobile Services headers -->
        <header>x-zumo-installation-id</header>
        <header>x-zumo-application</header>
        <header>x-zumo-version</header>
        <header>x-zumo-auth</header>
        <header>content-type</header>
        <header>accept</header>
    </allowed-headers>
    <expose-headers>
        <!-- Examples below show Azure Mobile Services headers -->
        <header>x-zumo-installation-id</header>
        <header>x-zumo-application</header>
    </expose-headers>
</cors>

 

元素

名称 描述 必须 默认
cors 根元素。 不适用
allowed-origins 包含的 origin 元素说明了跨域请求的允许来源。 allowed-origins 可能包含单个 origin 元素,该元素指定允许任何源的 *,或者包含一个或多个内含 URI 的 origin 元素。 不适用
origin 值可以是允许所有源的 *,或者是用于指定单个源的 URI。 URI 必须包括方案、主机和端口。 如果 URI 中省略了端口,则端口 80 用于 HTTP,端口 443 用于 HTTPS。
allowed-methods 如果允许 GET 或 POST 之外的方法,则此元素是必需的。 包含 method 元素,用于指定支持的 HTTP 谓词。 * 指示所有方法。 如果此部分不存在,则支持 GET 和 POST。
method 指定 HTTP 谓词。 如果 allowed-methods 部分存在,则至少一个 method 元素是必需。 不适用
allowed-headers 此元素包含 header 元素,用于指定可以包括在请求中的标头的名称。 不适用
expose-headers 此元素包含 header 元素,用于指定可以通过客户端访问的标头的名称。 不适用
标头 指定标头名称。 如果节存在,则 allowed-headersexpose-headers 中至少一个 header 元素是必需。 不适用

属性

名称 描述 必须 默认
allow-credentials 预检响应中的 Access-Control-Allow-Credentials 标头将设置为此属性的值,会影响客户端在跨域请求中提交凭据的功能。 false
preflight-result-max-age 预检响应中的 Access-Control-Max-Age 标头将设置为此属性的值,会影响用户代理缓存预检响应的功能。 0

使用情况

此策略可在以下策略范围中使用。

  • 策略节: 入站
  • 策略范围: 所有范围
文章标签:
API
小程序
JavaScript
Web App开发
缓存
关键词:
API功能
API响应
azure API
API访问
微信功能
路边两盏灯
目录
相关文章
路边两盏灯
|
3月前
|
XML 安全 API
【Azure APIM】API Management的Policy是否支持 SAML assertion?
本文探讨了API Management是否支持通过策略(如validate-jwt)验证SAML assertion的问题。结论是API Management目前不支持SAML assertion验证,因其为XML-based token,而validate-jwt仅适用于JWT tokens。文章进一步介绍了SAML(安全断言标记语言)的基本原理、Assertion的组成及用途,包括单点登录(SSO)、跨组织身份验证、云服务集成和安全性增强等方面,帮助读者深入了解SAML的工作机制及其应用场景。
路边两盏灯
67 23
李游Leo
|
9月前
|
API 数据安全/隐私保护 UED
探索鸿蒙的蓝牙A2DP与访问API:从学习到实现的开发之旅
在掌握了鸿蒙系统的开发基础后,我挑战了蓝牙功能的开发。通过Bluetooth A2DP和Access API,实现了蓝牙音频流传输、设备连接和权限管理。具体步骤包括:理解API作用、配置环境与权限、扫描并连接设备、实现音频流控制及动态切换设备。最终,我构建了一个简单的蓝牙音频播放器,具备设备扫描、连接、音频播放与停止、切换输出设备等功能。这次开发让我对蓝牙技术有了更深的理解,也为未来的复杂项目打下了坚实的基础。
李游Leo
316 58
探索鸿蒙的蓝牙A2DP与访问API:从学习到实现的开发之旅
游客yfhvld3gkhj4q
|
6月前
|
API
钉钉宜搭--远程API,在其他人访问时无法生效
简介: 描述了一种远程API配置问题的场景。开发人员在本地可正常通过应用表单获取数据,但同组织的其他同事访问时无法获取数据,尽管已设置全部权限。问题是关于如何解决这种跨用户数据访问异常的情况,确保同事间能正常共享数据。
游客yfhvld3gkhj4q
336 2
小Q_dream
|
7月前
|
存储 小程序 前端开发
微信小程序与Java后端实现微信授权登录功能
微信小程序极大地简化了登录注册流程。对于用户而言,仅仅需要点击授权按钮,便能够完成登录操作,无需经历繁琐的注册步骤以及输入账号密码等一系列复杂操作,这种便捷的登录方式极大地提升了用户的使用体验
小Q_dream
2323 12
路边两盏灯
|
9月前
|
JavaScript API C#
【Azure Developer】Python代码调用Graph API将外部用户添加到组,结果无效,也无错误信息
根据Graph API文档,在单个请求中将多个成员添加到组时,Python代码示例中的`members@odata.bind`被错误写为`members@odata_bind`,导致用户未成功添加。
路边两盏灯
109 10
路边两盏灯
|
9月前
|
API Python
【Azure Developer】分享一段Python代码调用Graph API创建用户的示例
分享一段Python代码调用Graph API创建用户的示例
路边两盏灯
116 11
点量小芹
|
10月前
|
负载均衡 数据可视化 API
像素流送api ue多人访问需要什么显卡服务器
本文总结了关于像素流送技术的五大常见问题,包括是否支持Unity模型推流、UE多人访问的最大并发数、所需服务器配置、稳定性问题及API支持情况,旨在帮助开发者更好地理解和应用这一技术。
点量小芹
355 1
vohelon
|
11月前
|
编解码 中间件 API
API实现跨平台访问的方式
【10月更文挑战第16天】API实现跨平台访问的方式
vohelon
177 2
爱专研的技术土狗
|
10月前
|
API
如何申请微店的API访问权限?
申请微店API访问权限需先注册账号并完成实名认证,随后提交开发申请,学习API接口,实现功能和数据传输,申请授权获取API Key,测试接口,最后正式上线并持续维护优化。
爱专研的技术土狗
213 0
chnjames
|
11月前
|
存储 自然语言处理 小程序
微信小程序多语言切换神器:简繁体切换功能完全指南
随着全球化的发展,支持多种语言的应用程序愈发重要。本文介绍了如何在微信小程序中实现简体与繁体字体之间的切换功能,以满足不同地区用户的需求。通过创建utils文件夹并编写相应的转换函数,开发者可以方便地实现语言切换,从而提升用户体验。文章中还附带了示例代码和效果图,帮助读者更好地理解和应用这一功能。
chnjames
548 0
微信小程序多语言切换神器:简繁体切换功能完全指南

热门文章

最新文章

  • 1
    抖音视频列表API秘籍!轻松获取视频列表数据
  • 2
    IDEA 用户惊叹:API 文档还能这样一键生成?
  • 3
    抖音视频详情API秘籍!轻松获取视频详情数据
  • 4
    深度分析淘宝卖家订单详情API接口,用json返回数据
  • 5
    淘宝/天猫图片搜索API接口,json返回数据。
  • 6
    抖音电商 API 接口:开启抖音小店直播带货数据新洞察
  • 7
    Java Stream API:现代数据处理之道
  • 8
    API文档该怎么写,开发效率能翻几倍?
  • 9
    抖音电商 API 接口:抖音平台电商活动热度实时监测
  • 10
    揭秘抖音电商 API,让抖音小店粉丝增长有迹可循
  • 1
    微信浏览器内 h5 直接唤醒 app 之 微信开放标签 wx-open-launch-app
    774
  • 2
    微信扫码登录--设计技术分享
    800
  • 3
    从零到一:微信机器人开发的实战心得
    943
  • 4
    在微信框架模块中,基于Vue&Element前端的事件和内容的管理
    129
  • 5
    在微信框架模块中,基于Vue&Element前端的后台管理功能介绍
    213
  • 6
    在微信框架模块中,基于Vue&Element前端,通过动态构建投票选项,实现单选、复选的投票操作
    107
  • 7
    利用微信公众号实现商品的展示和支付(2)
    134
  • 8
    利用微信公众号实现商品的展示和支付(1)
    178
  • 9
    基于Jquery WeUI的微信开发H5页面控件的经验总结(2)
    267
  • 10
    基于Jquery WeUI的微信开发H5页面控件的经验总结(1)
    422

    • 相关课程

    更多
  • IoT小程序框架课程

    • 相关电子书

    更多
  • Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
  • Spring Boot2.0实战Redis分布式缓存
  • CUDA MATH API
    • 下一篇
    蛋白质语言模型 ProGen:在实验室合成由 AI 预测的蛋白质