supabase-mcp CORS设置:跨域资源共享的安全配置指南
项目地址: https://gitcode.com/GitHub_Trending/supab/supabase-mcp 你是否在开发Supabase应用时遇到过"Access-Control-Allow-Origin"错误?跨域资源共享(CORS)问题常常阻碍前端与后端API的正常通信,尤其当集成AI助手时,安全与可用性的平衡更为关键。本文将系统讲解如何在supabase-mcp中配置CORS策略,通过3个实用步骤和2种高级配置方案,帮助你彻底解决跨域访问难题。
理解CORS与supabase-mcp架构
跨域资源共享(CORS)是浏览器的安全机制,用于控制不同源之间的资源访问。当你的前端应用与supabase-mcp服务通信时,若域名、协议或端口不一致,就会触发CORS检查。
supabase-mcp作为连接Supabase与AI助手的中间层,其CORS配置直接影响API调用的安全性和可用性。核心服务代码位于src/server.ts,通过createSupabaseMcpServer函数初始化服务实例。
基础CORS配置步骤
1. 安装与启动服务
首先确保已克隆项目仓库并安装依赖:
git clone https://gitcode.com/GitHub_Trending/supab/supabase-mcp
cd supabase-mcp
pnpm install
pnpm dev
服务默认配置可在server.json中找到,基础CORS设置通常包含在HTTP服务初始化参数中。
2. 修改服务配置文件
在server.ts中,CORS配置通常作为createMcpServer的选项参数。添加或修改CORS相关配置:
// 在createMcpServer配置中添加
cors: {
allowedOrigins: ['https://your-frontend-domain.com', 'http://localhost:3000'],
allowedMethods: ['GET', 'POST', 'OPTIONS'],
allowedHeaders: ['Content-Type', 'Authorization'],
maxAge: 86400 // 24小时缓存预检请求
}
3. 验证CORS配置
启动服务后,使用浏览器开发者工具的"网络"标签检查请求头,确认响应中包含:
Access-Control-Allow-Origin: https://your-frontend-domain.comAccess-Control-Allow-Methods: GET, POST, OPTIONS
高级CORS安全策略
动态Origin验证
对于多租户应用,可实现动态Origin验证逻辑,在util.ts中添加验证函数:
// src/util.ts 中的CORS辅助函数
export function validateOrigin(origin: string | undefined, allowedDomains: string[]): string {
if (!origin) return '*'; // 允许无Origin请求(如POSTMAN)
return allowedDomains.some(domain => origin.endsWith(domain)) ? origin : 'https://default-allowed.com';
}
在server.ts中引用此函数:
cors: {
allowedOrigins: (origin) => validateOrigin(origin, ['yourdomain.com', 'trusted-partner.com']),
// 其他配置...
}
安全头配置
结合安全头强化CORS保护,在服务初始化时添加:
// 在server.ts中添加安全头中间件
server.use((req, res, next) => {
res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
res.setHeader('X-Content-Type-Options', 'nosniff');
res.setHeader('X-Frame-Options', 'DENY');
next();
});
常见问题与解决方案
预检请求失败
症状:复杂请求(如带自定义头的POST)被拦截,控制台显示预检请求403错误。
解决:确保服务器正确处理OPTIONS请求,在server.ts中添加:
// 处理预检请求
server.options('*', (req, res) => {
res.setHeader('Access-Control-Allow-Origin', req.headers.origin || '*');
res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
res.status(204).end();
});
生产环境配置
生产环境中应严格限制Origin,参考docs/production.md的安全建议,配置:
// server.json 生产配置
{
"cors": {
"allowedOrigins": ["https://app.yourdomain.com"],
"allowCredentials": true,
"allowedHeaders": ["Content-Type", "Authorization", "X-Supabase-Key"]
}
}
总结与最佳实践
配置supabase-mcp的CORS时应遵循以下原则:
- 最小权限:仅允许必要的源、方法和头
- 开发/生产环境分离:开发时可放宽限制,生产环境严格控制
- 动态验证:对多租户应用使用Origin验证函数
- 安全头配合:结合HSTS、X-Frame-Options等头增强安全
完整的CORS配置示例可在test/e2e/setup.ts中找到,包含测试环境的CORS设置范例。定期检查官方文档获取配置最佳实践更新。
通过本文介绍的配置方法,你可以在保障安全的同时,实现前端应用与supabase-mcp服务的顺畅通信,为AI助手集成提供可靠的跨域支持。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
