我目前有一个 GKE 集群运行我的前端(Angular)和我的后端(Nodejs / Adonisjs),我使用此条件为 Cloud Armor 配置了允许策略
request.headers['origin'].matches('https://subdomain.domain.cl')
它可以很好地返回 HTTP CODE 403,但是如果我使用 Postman 将源头设置为https://subdomain.domain.cl进行查询,则会绕过 Cloud Armor 的安全性。
由于我的前端在客户端运行,我没有允许连接的静态 IP 地址,我该如何解决这个问题?
您可以实施 CORS 以允许和限制域吗
https://www.npmjs.com/package/cors
例如
var express = require('express')
var cors = require('cors')
var app = express()
var corsOptions = {
origin: 'http://example.com',
optionsSuccessStatus: 200 // some legacy browsers (IE11, various SmartTVs) choke on 204
}
仅允许来自http://example.com