[GitHub] [apisix] juzhiyuan commented on a diff in pull request #7398: docs: refactor cors.md

GitBox Thu, 07 Jul 2022 17:54:25 -0700


juzhiyuan commented on code in PR #7398:
URL: https://github.com/apache/apisix/pull/7398#discussion_r916377011



##########
docs/zh/latest/plugins/cors.md:
##########
@@ -1,5 +1,10 @@
 ---
 title: cors
+keywords:
+  - APISIX
+  - Plugin

Review Comment:
   ```suggestion
     - API Gateway
   ```



##########
docs/zh/latest/plugins/cors.md:
##########
@@ -23,35 +28,39 @@ title: cors
 
 ## 描述
 
-`cors` 插件可以让你为服务端启用 
[CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) 的返回头。
+`cors` 插件可以让你轻松地为服务端启用 
[CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)（Cross-Origin 
Resource Sharing，跨域资源共享）的返回头。
 
 ## 属性
 
-| 名称             | 类型    | 可选项 | 默认值 | 有效值 | 描述                                
                         |
-| ---------------- | ------- | ------ | ------ | ------ | 
------------------------------------------------------------ |
-| allow_origins    | string  | 可选   | "*"    |        | 允许跨域访问的 
Origin，格式如：`scheme`://`host`:`port`，比如: https://somehost.com:8081 。多个值使用 `,` 
分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 Origin 均允许通过。你也可以在启用了 
`allow_credential` 后使用 `**` 强制允许所有 Origin 都通过，但请注意这样存在安全隐患。 |
-| allow_methods    | string  | 可选   | "*"    |        | 允许跨域访问的 Method，比如: 
`GET`，`POST`等。多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 Origin 
均允许通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Method 都通过，但请注意这样存在安全隐患。 |
-| allow_headers    | string  | 可选   | "*"    |        | 允许跨域访问时请求方携带哪些非 `CORS 
规范` 以外的 Header， 多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 
Header 均允许通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Header 
都通过，但请注意这样存在安全隐患。 |
-| expose_headers   | string  | 可选   | "*"    |        | 允许跨域访问时响应方携带哪些非 `CORS 
规范` 以外的 Header， 多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示允许任意 
Header 。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许任意 Header，但请注意这样存在安全隐患。 |
-| max_age          | integer | 可选   | 5      |        | 浏览器缓存 CORS 
结果的最大时间，单位为秒，在这个时间范围内浏览器会复用上一次的检查结果，`-1` 表示不缓存。请注意各个浏览器允许的最大时间不同，详情请参考 
[MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Max-Age#Directives)。
 |
-| allow_credential | boolean | 可选   | false  |        | 是否允许跨域访问的请求方携带凭据（如 
Cookie 等）。根据 CORS 规范，如果设置该选项为 `true`，那么将不能在其他选项中使用 `*`。 |
-| allow_origins_by_regex | array | 可选   | nil  |        | 使用正则表达式数组来匹配允许跨域访问的 
Origin，如 [".*\.test.com"] 可以匹配任何 test.com 的子域名`*`。 |
-| allow_origins_by_metadata | array | 可选    | nil   |       | 通过引用插件元数据的 
`allow_origins` 配置允许跨域访问的 Origin。比如当元数据为 `"allow_origins": {"EXAMPLE": 
"https://example.com"}` 时，配置 `["EXAMPLE"]` 将允许 Origin `https://example.com` 的访问 
 |
-
-> **提示**
->
-> 请注意 `allow_credential` 是一个很敏感的选项，谨慎选择开启。开启之后，其他参数默认的 `*` 将失效，你必须显式指定它们的值。
-> 使用 `**` 时要充分理解它引入了一些安全隐患，比如 CSRF，所以确保这样的安全等级符合自己预期再使用。
+| 名称             | 类型    | 必选项 | 默认值 | 描述                                      
                   |
+| ---------------- | ------- | ------ | ------ | 
------------------------------------------------------------ |
+| allow_origins    | string  | 否   | "*"    | 允许跨域访问的 Origin，格式为 
`scheme://host:port`，示例如 `https://somedomain.com:8081`。如果你有多个 Origin，请使用 `,` 
分隔。当 `allow_credential` 为 `false` 时，可以使用 `*` 来表示允许所有 Origin 通过。你也可以在启用了 
`allow_credential` 后使用 `**` 强制允许所有 Origin 均通过，但请注意这样存在安全隐患。 |
+| allow_methods    | string  | 否   | "*"    | 允许跨域访问的 Method，比如：`GET`，`POST` 
等。如果你有多个 Method，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 来表示允许所有 
Method 通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Method 都通过，但请注意这样存在安全隐患。 |
+| allow_headers    | string  | 否   | "*"    | 允许跨域访问时请求方携带哪些非 `CORS 规范` 以外的 
Header。如果你有多个 Header，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 
来表示允许所有 Header 通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Header 
都通过，但请注意这样存在安全隐患。 |
+| expose_headers   | string  | 否   | "*"    | 允许跨域访问时响应方携带哪些非 `CORS 规范` 以外的 
Header。如果你有多个 Header，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 
来表示允许任意 Header 。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许任意 
Header，但请注意这样存在安全隐患。 |
+| max_age          | integer | 否   | 5      | 浏览器缓存 CORS 
结果的最大时间，单位为秒。在这个时间范围内，浏览器会复用上一次的检查结果，`-1` 表示不缓存。请注意各个浏览器允许的最大时间不同，详情请参考 
[Access-Control-Max-Age - 
MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Max-Age#directives)。
 |
+| allow_credential | boolean | 否   | false  | 是否允许跨域访问的请求方携带凭据（如 Cookie 等）。根据 
CORS 规范，如果设置该选项为 `true`，那么将不能在其他属性中使用 `*`。 |
+| allow_origins_by_regex | array | 否   | nil  | 使用正则表达式数组来匹配允许跨域访问的 Origin，如 
`[".*\.test.com"]` 可以匹配任何 `test.com` 的子域名 `*`。 |
+| allow_origins_by_metadata | array | 否    | nil   | 通过引用插件元数据的 
`allow_origins` 配置允许跨域访问的 Origin。比如当插件元数据为 `"allow_origins": {"EXAMPLE": 
"https://example.com"}` 时，配置 `["EXAMPLE"]` 将允许 Origin `https://example.com` 
的访问。  |
+
+:::info IMPORTANT
+
+`allow_credential` 是一个很敏感的选项，请谨慎开启。开启之后，其他参数默认的 `*` 将失效，你必须显式指定它们的值。

Review Comment:
   ```suggestion
   1. `allow_credential` 是一个很敏感的选项，请谨慎开启。开启之后，其他参数默认的 `*` 将失效，你必须显式指定它们的值。
   ```



##########
docs/zh/latest/plugins/cors.md:
##########
@@ -23,35 +28,39 @@ title: cors
 
 ## 描述
 
-`cors` 插件可以让你为服务端启用 
[CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS) 的返回头。
+`cors` 插件可以让你轻松地为服务端启用 
[CORS](https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS)（Cross-Origin 
Resource Sharing，跨域资源共享）的返回头。
 
 ## 属性
 
-| 名称             | 类型    | 可选项 | 默认值 | 有效值 | 描述                                
                         |
-| ---------------- | ------- | ------ | ------ | ------ | 
------------------------------------------------------------ |
-| allow_origins    | string  | 可选   | "*"    |        | 允许跨域访问的 
Origin，格式如：`scheme`://`host`:`port`，比如: https://somehost.com:8081 。多个值使用 `,` 
分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 Origin 均允许通过。你也可以在启用了 
`allow_credential` 后使用 `**` 强制允许所有 Origin 都通过，但请注意这样存在安全隐患。 |
-| allow_methods    | string  | 可选   | "*"    |        | 允许跨域访问的 Method，比如: 
`GET`，`POST`等。多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 Origin 
均允许通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Method 都通过，但请注意这样存在安全隐患。 |
-| allow_headers    | string  | 可选   | "*"    |        | 允许跨域访问时请求方携带哪些非 `CORS 
规范` 以外的 Header， 多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示所有 
Header 均允许通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Header 
都通过，但请注意这样存在安全隐患。 |
-| expose_headers   | string  | 可选   | "*"    |        | 允许跨域访问时响应方携带哪些非 `CORS 
规范` 以外的 Header， 多个值使用 `,` 分割，`allow_credential` 为 `false` 时可以使用 `*` 来表示允许任意 
Header 。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许任意 Header，但请注意这样存在安全隐患。 |
-| max_age          | integer | 可选   | 5      |        | 浏览器缓存 CORS 
结果的最大时间，单位为秒，在这个时间范围内浏览器会复用上一次的检查结果，`-1` 表示不缓存。请注意各个浏览器允许的最大时间不同，详情请参考 
[MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Max-Age#Directives)。
 |
-| allow_credential | boolean | 可选   | false  |        | 是否允许跨域访问的请求方携带凭据（如 
Cookie 等）。根据 CORS 规范，如果设置该选项为 `true`，那么将不能在其他选项中使用 `*`。 |
-| allow_origins_by_regex | array | 可选   | nil  |        | 使用正则表达式数组来匹配允许跨域访问的 
Origin，如 [".*\.test.com"] 可以匹配任何 test.com 的子域名`*`。 |
-| allow_origins_by_metadata | array | 可选    | nil   |       | 通过引用插件元数据的 
`allow_origins` 配置允许跨域访问的 Origin。比如当元数据为 `"allow_origins": {"EXAMPLE": 
"https://example.com"}` 时，配置 `["EXAMPLE"]` 将允许 Origin `https://example.com` 的访问 
 |
-
-> **提示**
->
-> 请注意 `allow_credential` 是一个很敏感的选项，谨慎选择开启。开启之后，其他参数默认的 `*` 将失效，你必须显式指定它们的值。
-> 使用 `**` 时要充分理解它引入了一些安全隐患，比如 CSRF，所以确保这样的安全等级符合自己预期再使用。
+| 名称             | 类型    | 必选项 | 默认值 | 描述                                      
                   |
+| ---------------- | ------- | ------ | ------ | 
------------------------------------------------------------ |
+| allow_origins    | string  | 否   | "*"    | 允许跨域访问的 Origin，格式为 
`scheme://host:port`，示例如 `https://somedomain.com:8081`。如果你有多个 Origin，请使用 `,` 
分隔。当 `allow_credential` 为 `false` 时，可以使用 `*` 来表示允许所有 Origin 通过。你也可以在启用了 
`allow_credential` 后使用 `**` 强制允许所有 Origin 均通过，但请注意这样存在安全隐患。 |
+| allow_methods    | string  | 否   | "*"    | 允许跨域访问的 Method，比如：`GET`，`POST` 
等。如果你有多个 Method，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 来表示允许所有 
Method 通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Method 都通过，但请注意这样存在安全隐患。 |
+| allow_headers    | string  | 否   | "*"    | 允许跨域访问时请求方携带哪些非 `CORS 规范` 以外的 
Header。如果你有多个 Header，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 
来表示允许所有 Header 通过。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许所有 Header 
都通过，但请注意这样存在安全隐患。 |
+| expose_headers   | string  | 否   | "*"    | 允许跨域访问时响应方携带哪些非 `CORS 规范` 以外的 
Header。如果你有多个 Header，请使用 `,` 分割。当 `allow_credential` 为 `false` 时，可以使用 `*` 
来表示允许任意 Header 。你也可以在启用了 `allow_credential` 后使用 `**` 强制允许任意 
Header，但请注意这样存在安全隐患。 |
+| max_age          | integer | 否   | 5      | 浏览器缓存 CORS 
结果的最大时间，单位为秒。在这个时间范围内，浏览器会复用上一次的检查结果，`-1` 表示不缓存。请注意各个浏览器允许的最大时间不同，详情请参考 
[Access-Control-Max-Age - 
MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Max-Age#directives)。
 |
+| allow_credential | boolean | 否   | false  | 是否允许跨域访问的请求方携带凭据（如 Cookie 等）。根据 
CORS 规范，如果设置该选项为 `true`，那么将不能在其他属性中使用 `*`。 |
+| allow_origins_by_regex | array | 否   | nil  | 使用正则表达式数组来匹配允许跨域访问的 Origin，如 
`[".*\.test.com"]` 可以匹配任何 `test.com` 的子域名 `*`。 |
+| allow_origins_by_metadata | array | 否    | nil   | 通过引用插件元数据的 
`allow_origins` 配置允许跨域访问的 Origin。比如当插件元数据为 `"allow_origins": {"EXAMPLE": 
"https://example.com"}` 时，配置 `["EXAMPLE"]` 将允许 Origin `https://example.com` 
的访问。  |
+
+:::info IMPORTANT
+
+`allow_credential` 是一个很敏感的选项，请谨慎开启。开启之后，其他参数默认的 `*` 将失效，你必须显式指定它们的值。
+在使用 `**` 时，需要清楚该参数引入的一些安全隐患，比如 CSRF，并确保这样的安全等级符合自己预期。

Review Comment:
   ```suggestion
   2. 在使用 `**` 时，需要清楚该参数引入的一些安全隐患，比如 CSRF，并确保这样的安全等级符合自己预期。
   ```



-- 
This is an automated message from the Apache Git Service.
To respond to the message, please log on to GitHub and use the
URL above to go to the specific comment.

To unsubscribe, e-mail: [email protected]

For queries about this service, please contact Infrastructure at:
[email protected]

[GitHub] [apisix] juzhiyuan commented on a diff in pull request #7398: docs: refactor cors.md

Reply via email to