那些遇到过的问题

cloudflare可以添加自定义标头吗?

Mer*_* C. 1 ajax google-chrome cors cloudflare

无论如何在cloudflare中添加自定义标头?

我们做了一些https ajax来缓存静态文件,但是它没有处理响应标头中的某些标头,例如“ Access-Control-Allow-Credentials”,并导致chrome失败。

Aar*_*nan 5

斯科特·赫尔姆(Scott Helme)已发布了一种使用最近发布的新Cloudflare Workers来做到这一点的方法。

https://scotthelme.co.uk/security-headers-cloudflare-worker/

let securityHeaders = {
  "Content-Security-Policy": "upgrade-insecure-requests",
  "Strict-Transport-Security": "max-age=1000",
  "X-Xss-Protection": "1; mode=block",
  "X-Frame-Options": "DENY",
  "X-Content-Type-Options": "nosniff",
  "Referrer-Policy": "strict-origin-when-cross-origin",
}

let sanitiseHeaders = {
  "Server": "My New Server Header!!!",
}

let removeHeaders = [
  "Public-Key-Pins",
  "X-Powered-By",
  "X-AspNet-Version",
]

addEventListener('fetch', event => {
  event.respondWith(addHeaders(event.request))
})

async function addHeaders(req) {
  let response = await fetch(req)
  let newHdrs = new Headers(response.headers)

  if (newHdrs.has("Content-Type") && !newHdrs.get("Content-Type").includes("text/html")) {
    return new Response(response.body, {
      status: response.status,
      statusText: response.statusText,
      headers: newHdrs
    })
  }

  Object.keys(securityHeaders).map(function(name, index) {
    newHdrs.set(name, securityHeaders[name]);
  })

  Object.keys(sanitiseHeaders).map(function(name, index) {
    newHdrs.set(name, sanitiseHeaders[name]);
  })

  removeHeaders.forEach(function(name) {
    newHdrs.delete(name)
  })

  return new Response(response.body, {
    status: response.status,
    statusText: response.statusText,
    headers: newHdrs
  })
}
Run Code Online (Sandbox Code Playgroud)

bob*_*sie 5

要添加自定义标头,请Workers在 Cloudflare 中选择。

CloudFlare 工作者

要添加自定义标题,例如Access-Control-Allow-CredentialsX-Frame-Options然后添加以下小脚本:-

addEventListener('fetch', event => {
  event.respondWith(handleRequest(event.request))
})

async function handleRequest(request) {
  let response = await fetch(request)
  let newHeaders = new Headers(response.headers)
  newHeaders.set("Access-Control-Allow-Credentials", "true")
  newHeaders.set("X-Frame-Options", "SAMEORIGIN")
  
  // ... and any more required headers

  return new Response(response.body, {
    status: response.status,
    statusText: response.statusText,
    headers: newHeaders
  })
}
Run Code Online (Sandbox Code Playgroud)

创建工作人员后,您需要将其与路线匹配,例如

匹配工人的路线

如果您现在使用 Chrome Dev 工具测试您的端点,您将看到响应标头。

归档时间:

查看次数:

3768 次

最近记录:

6 年 前
相关归档
网站可以调用浏览器扩展吗? 24
'event.layerX和event.layerY在WebKit中被破坏和弃用.错误 16
如何在Chrome中启用ActiveX? 10
检查jQuery ajax请求的状态 9
之前的奇怪 6
DotNetNuke 7 - 向模块添加ajax控件时,编辑页面菜单不起作用 6
具有多个ajax'd值的jQuery自动完成 5
为什么 Chrome 会以新窗口为目标自动关闭指向我网站的链接? 5
Spring MVC:处理Ajax请求和正常请求异常的最佳方法是什么? 5
在rails中使用Ajax时传递Form对象 5
难疑归档
如何在PHP中阻止SQL注入? 2776
如何在JavaScript中获取查询字符串值? 2701
打印Java数组最简单的方法是什么? 1852
比较Java枚举成员:==或equals()? 1645
如何自动调整图像大小以适合div容器 1394
Git push需要用户名和密码 1327
如何在回调中访问正确的`this`? 1309
你怎么能加速Eclipse? 1258
如何从git存储库中删除目录? 1138
shell脚本中的YYYY-MM-DD格式日期 1045