uPortal

Enterprise open source portal built by and for the higher education community.

This project is maintained by uPortal-Project

Sécurité dans uPortal

Table des matières

  1. Filtre CORS

Filtre CORS

Le filtre CORS est une implémentation de CORS du W3C (Cross-Origin Resource Sharing) spécification, qui permet des requêtes d’origines croisées.

Options de configuration du filtre CORS

cors.allowed.origins

Une liste des origines qui sont autorisées à accéder à la ressource. Une astérisque * peut être spécifiée pour permettre l'accès à la ressource depuis n'importe quelle origine. Sinon, une liste blanche des origines séparées par des virgules , peut être fournie. Par exemple: http://www.w3.org, https://www.apache.org . Valeurs par défaut: * (Toute origine est autorisée à accéder à la ressource).

cors.allowed.methods

Une liste de méthodes HTTP séparées par des virgules , qui peuvent être utilisées pour accéder aux ressources, en utilisant des requêtes d'origines croisées. Ce sont les méthodes qui vont aussi être inclus dans le cadre de l' Access-Control-Allow-Methods en-tête dans la réponse pré-envoi. Par exemple: GET, POST . Par défaut: GET, HEAD

cors.allowed.headers

Une liste d'en-têtes de requête séparées par des virgules , qui peuvent être utilisées quand on fait effectivement une requête. Ces en-têtes seront également retournés dans le cadre de l'en-tête Access-Control-Allow-Headers dans le pré-envoi de la réponse. Par exemple: Origin,Accept. Valeurs par défaut: Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers

cors.exposed.headers

Une liste d'en-têtes séparés par des virgules, autres que les simples en-têtes de réponse auxquels les navigateurs sont autorisés à accéder. Ce sont les en-têtes qui seront également inclus dans l'en-tête Access-Control-Expose-Headers dans le pré-envoi de la réponse. Eg: X-CUSTOM-HEADER-PING,X-CUSTOM-HEADER-PONG. Default: None. Les en-têtes non simples ne sont pas affichés par défaut.

cors.preflight.maxage

La quantité de secondes, qu'un navigateur est autorisé à mettre en cache le résultat de la requête. Cela sera inclus dans l'en-tête Access-Control-Max-Age dans le pré-envoi de la réponse. Une valeur négative empêchera le filtre CORS d'ajouter cette en-tête de réponse dans le pré-envoi de la réponse. Par défaut : 1800

cors.support.credentials

Un Indicateur indiquant si la ressource prend en charge les informations d'identification de l'utilisateur. Ce drapeau est exposé dans le cadre de En-tête Access-Control-Allow-Credentials dans le pré-envoi de la réponse. Il aide le navigateur à déterminer si oui ou non une requête réelle peut être faite en utilisant des informations d'identification. Defaults: true

cors.request.decorate

Un indicateur pour contrôler si les attributs spécifiques CORS doivent être ajoutés à l'objet HttpServletRequest ou non. Defaults: true

Voir CORS du W3C