我有以下 haproxy 配置,使用access-control-allow-origin
以下配置在成功的 200 个请求上添加标头。我的问题是,当我遇到超时或 haproxy 本身(不是我的上游服务器)由于其他原因抛出错误时,不会添加此标头。我如何在例如 504 响应上也添加此标头?
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA>
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5s
timeout client 30s
timeout server 30s
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend www-https
bind *:80
bind *:443 ssl crt /etc/ssl/cert.io.pem
http-response add-header access-control-allow-origin "myCoolWebsite.com"
redirect scheme https code 301 if !{ ssl_fc }
mode http
default_backend myBackend
backend myBackend
server myServer 123.456.789.101:2345
编辑:我基本上通过添加如下所示的 504 自定义错误文件解决了这个问题。唯一的问题是我无法弄清楚如何动态地将设置access-control-allow-origin
为仅当前请求的域而不是*
。这是一个问题,因为某些浏览器在接收带有的响应时会出现问题/抛出*
。有什么想法可以做到这一点吗?
// 504.http
HTTP/1.0 504 Gateway Time-out
Cache-Control: no-cache
Connection: close
Content-Type: text/html
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods:\ GET,\ HEAD,\ OPTIONS,\ POST,\ PUT
Access-Control-Allow-Credentials:\ true
Access-Control-Allow-Headers:\ Origin,\ Accept,\ X-Requested-With,\ Content-Type,\ Access-Control-Request-Method,\ Access-Control-Request-Headers,\ Authorization
{
"html": {
"body": {
"h1": "504 Gateway Time-out",
"#text": "The server didn't respond in time."
}
}
}
答案1
在错误文档上动态设置标头是 HAProxy 的一个限制,目前没有现成的功能可以直接实现这一点。由于错误在到达后端服务器之前就已处理,因此动态设置 Access-Control-Allow-Origin 标头很困难。
针对此用例,一种常见的建议解决方法是通过专用后端发送错误响应。在此后端中,您可以执行脚本或使用可以检查请求并动态添加标头的应用程序。
以下是 HAProxy 配置步骤:
frontend www-https
bind *:80
bind *:443 ssl crt /etc/ssl/cert.io.pem
redirect scheme https code 301 if !{ ssl_fc }
mode http
use_backend errorBackend if { status eq 504 }
default_backend myBackend
backend errorBackend
mode http
errorfile 504 /etc/haproxy/errors/504.http
http-response set-header Access-Control-Allow-Origin %[hdr(origin)]
server errSrv localhost:2346
backend myBackend
server myServer 123.456.789.101:2345
当 haproxy 本身返回错误(如由于超时而导致的 504)时,错误标志会在到达后端之前被提升,并且它会直接返回预先配置的错误页面,而不会将请求传递给后端。因此,在这种情况下,haproxy 将无法处理涉及动态属性(例如,根据请求域而变化)的标头。
将错误发送到专用后端的解决方法使 haproxy 的行为如下:
- 客户端请求到达前端。
- Haproxy 尝试将请求转发到后端。
- 如果后端超时(通常会直接从 haproxy 触发 504),我们会将请求直接发送到专用的“错误后端”。
- “错误后端”根据原始请求创建包含标头的 504 消息(因为“错误后端”的工作方式与普通后端类似)。
- 然后将该定制的错误消息发送回客户端。
诀窍在于我们实际上不允许 haproxy 触发直接错误响应。超时现在将导致切换到另一个可以处理基于请求的动态标头的后端。因此,它确实在配置中创建了另一个抽象级别,可以将其视为一个新层。