在 haproxy 的错误响应中添加自定义标头

tag-icon tag-icon haproxy http-headers
在 haproxy 的错误响应中添加自定义标头

我有以下 haproxy 配置,使用access-control-allow-origin以下配置在成功的 200 个请求上添加标头。我的问题是,当我遇到超时或 haproxy 本身(不是我的上游服务器)由于其他原因抛出错误时,不会添加此标头。我如何在例如 504 响应上也添加此标头?

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA>
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5s
        timeout client  30s
        timeout server  30s
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http

frontend www-https
    bind *:80
    bind *:443 ssl crt /etc/ssl/cert.io.pem

    http-response add-header access-control-allow-origin "myCoolWebsite.com"

    redirect scheme https code 301 if !{ ssl_fc }
    mode http

    default_backend myBackend


backend myBackend
  server myServer 123.456.789.101:2345

编辑:我基本上通过添加如下所示的 504 自定义错误文件解决了这个问题。唯一的问题是我无法弄清楚如何动态地将设置access-control-allow-origin为仅当前请求的域而不是*。这是一个问题,因为某些浏览器在接收带有的响应时会出现问题/抛出*。有什么想法可以做到这一点吗?

// 504.http
HTTP/1.0 504 Gateway Time-out
Cache-Control: no-cache
Connection: close
Content-Type: text/html
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods:\ GET,\ HEAD,\ OPTIONS,\ POST,\ PUT
Access-Control-Allow-Credentials:\ true
Access-Control-Allow-Headers:\ Origin,\ Accept,\ X-Requested-With,\ Content-Type,\ Access-Control-Request-Method,\ Access-Control-Request-Headers,\ Authorization

{
  "html": {
    "body": {
      "h1": "504 Gateway Time-out",
      "#text": "The server didn't respond in time."
    }
  }
}

答案1

在错误文档上动态设置标头是 HAProxy 的一个限制,目前没有现成的功能可以直接实现这一点。由于错误在到达后端服务器之前就已处理,因此动态设置 Access-Control-Allow-Origin 标头很困难。

针对此用例,一种常见的建议解决方法是通过专用后端发送错误响应。在此后端中,您可以执行脚本或使用可以检查请求并动态添加标头的应用程序。

以下是 HAProxy 配置步骤:

frontend www-https
    bind *:80
    bind *:443 ssl crt /etc/ssl/cert.io.pem
    redirect scheme https code 301 if !{ ssl_fc }
    mode http
    use_backend errorBackend if { status eq 504 }
    default_backend myBackend

backend errorBackend
    mode http
    errorfile 504 /etc/haproxy/errors/504.http
    http-response set-header Access-Control-Allow-Origin %[hdr(origin)]
    server errSrv localhost:2346

backend myBackend
    server myServer 123.456.789.101:2345

当 haproxy 本身返回错误(如由于超时而导致的 504)时,错误标志会在到达后端之前被提升,并且它会直接返回预先配置的错误页面,而不会将请求传递给后端。因此,在这种情况下,haproxy 将无法处理涉及动态属性(例如,根据请求域而变化)的标头。

将错误发送到专用后端的解决方法使 haproxy 的行为如下:

  1. 客户端请求到达前端。
  2. Haproxy 尝试将请求转发到后端。
  3. 如果后端超时(通常会直接从 haproxy 触发 504),我们会将请求直接发送到专用的“错误后端”。
  4. “错误后端”根据原始请求创建包含标头的 504 消息(因为“错误后端”的工作方式与普通后端类似)。
  5. 然后将该定制的错误消息发送回客户端。

诀窍在于我们实际上不允许 haproxy 触发直接错误响应。超时现在将导致切换到另一个可以处理基于请求的动态标头的后端。因此,它确实在配置中创建了另一个抽象级别,可以将其视为一个新层。

相关内容