为什么在kubesphere部署的k8s服务中,访问特定API时会收到CORS策略阻止错误,并且Access-Control-Allow-Origin头包含多个值?

原创 已于 2025-08-21 14:04:02 修改 · 959 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #CORS #跨源资源共享 #跨域

于 2025-08-14 10:18:09 首次发布

在KubeSphere部署的Kubernetes集群中,访问特定API时出现CORS策略阻止错误,并且Access-Control-Allow-Origin包含多个值(如https://mydev.lmzf.com, *),通常是由于多个层级的CORS配置冲突导致的。以下是具体原因分析和解决方案:

1. 根本原因分析

CORS(Cross-Origin Resource Sharing跨源资源共享)错误通常发生在浏览器端,当前端应用(如React/Vue)访问后端API时,如果后端返回的Access-Control-Allow-Origin头不符合浏览器的安全策略,请求就会被阻止。在Kubernetes/KubeSphere环境中,可能涉及多个层级的CORS配置:

(1) 多个组件重复设置CORS头

  • Ingress控制器(如Nginx Ingress)可能配置了CORS策略。
  • 后端服务(如Spring Boot、Node.js)可能也设置了CORS头。
  • API Gateway(如Kong、Traefik)可能额外添加了CORS头。
  • KubeSphere的API Server可能默认启用了CORS。

如果这些组件都尝试设置Access-Control-Allow-Origin,就会导致该头包含多个值(如https://mydev.lmzf, *),而浏览器只允许单个值

(2) 错误的CORS配置

  • 某些组件可能配置了Access-Control-Allow-Origin: *(通配符),而另一个组件又尝试添加https://mydev.lmzf.com,导致冲突。
  • **预检请求(OPTIONS)**未正确处理,导致浏览器无法正确验证CORS策略。

(3) 代理层(如Nginx、Envoy)修改了响应头

  • 如果请求经过反向代理(如Nginx、Ingress Controller),它可能会修改或追加CORS头。
  • 某些KubeSphere组件(如Service Mesh)可能自动注入CORS策略。

2. 解决方案

方案1:统一CORS配置,避免多层级冲突

(1) 检查并清理后端服务的CORS配置
  • 如果后端服务(如Spring Boot、Node.js)自行设置了CORS,确保它仅返回单个Access-Control-Allow-Origin,例如: 
    // Spring Boot示例
@Bean
public WebMvcConfigurer corsConfigurer() {
    return new WebMvcConfigurer() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/**")
                .allowedOrigins("https://mydev.lmzf.com") // 仅允许单个域名
                .allowedMethods("GET", "POST", "PUT", "DELETE");
        }
    };
}
  • 避免使用*通配符,除非是测试环境。
(2) 检查Ingress/Nginx的CORS配置

如果使用了Nginx Ingress,确保其Annotation仅设置单个Access-Control-Allow-Origin

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    nginx.ingress.kubernetes.io/enable-cors: "true"
    nginx.ingress.kubernetes.io/cors-allow-origin: "https://mydev.lmzf.com" # 仅允许单个域名
    nginx.ingress.kubernetes.io/cors-allow-methods: "GET, POST, PUT, DELETE"
spec:
  rules:
  - host: mydev.lmzf.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

或一级域名通配符配置:

nginx.ingress.kubernetes.io/enable-cors: "true"
nginx.ingress.kubernetes.io/cors-allow-origin: "https://*.lmzf.com"
(3) 检查KubeSphere API Server的CORS配置

如果问题涉及KubeSphere的API Server(如访问/kapi/开头的API),检查其CORS配置:

kubectl -n kubesphere-system get cm kubesphere-config -o yaml

确保kube-apiserver--cors-allowed-origins参数仅包含单个域名,例如:

apiVersion: v1
kind: ConfigMap
metadata:
  name: kubesphere-config
  namespace: kubesphere-system
data:
  kube-apiserver.yaml: |
    apiServer:
      extraArgs:
        cors-allowed-origins: "https://mydev.lmzf.com" # 仅允许单个域名

方案2:确保预检请求(OPTIONS)正确处理

  • 浏览器在发送实际请求前会先发送OPTIONS请求(预检请求),后端必须正确响应:
    • 返回204 No Content
    • 包含正确的CORS头(如Access-Control-Allow-Methods)。
  • 如果后端未正确处理OPTIONS请求,可能会导致CORS失败。
示例(Nginx Ingress处理OPTIONS请求)
annotations:
  nginx.ingress.kubernetes.io/cors-allow-methods: "GET, POST, PUT, DELETE, OPTIONS"
  nginx.ingress.kubernetes.io/cors-allow-headers: "DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,Authorization"

方案3:检查Service Mesh(如Istio)的CORS策略

如果使用了Istio或KubeSphere Service Mesh,检查VirtualServiceGateway是否额外添加了CORS头:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
  - mydev.lmzf.com
  http:
  - route:
    - destination:
        host: my-service
    corsPolicy:
      allowOrigins:
      - exact: "https://mydev.lmzf.com" # 仅允许单个域名
      allowMethods: ["GET", "POST", "PUT", "DELETE"]

3. 总结

问题原因解决方案
多个组件重复设置CORS头统一CORS配置,确保仅单个组件(如Ingress或后端)设置Access-Control-Allow-Origin
后端返回多个Access-Control-Allow-Origin检查后端代码,避免使用*通配符,仅返回单个域名
Ingress/Nginx配置错误检查Ingress Annotation,确保cors-allow-origin仅包含单个域名
KubeSphere API Server默认CORS策略冲突检查kubesphere-config ConfigMap,调整cors-allowed-origins
OPTIONS请求未正确处理确保后端或Ingress正确响应OPTIONS请求
Service Mesh(如Istio)额外注入CORS头检查VirtualServiceGatewaycorsPolicy配置

调试建议

  1. 使用curl或Postman检查响应头

    curl -v -X OPTIONS "https://page-proxy-test.lmzf.com/zy/proxy/open-api/hunan/medianode/getOperationIndex?provinceCode=43" -H "Origin: https://mydev.lmzf.com"
    • 观察Access-Control-Allow-Origin是否包含多个值。

  2. 检查Ingress/Nginx日志

    kubectl logs -n ingress-nginx <nginx-ingress-pod-name>

  3. 检查后端服务日志

    kubectl logs <backend-pod-name>

        通过以上方法,应该能定位并解决CORS策略冲突问题。如果仍有问题,可以提供更详细的配置和日志,以便进一步分析。

岚叔运维
关注
安全运维-如何在Kubernetes中使用注释对ingress-nginx及后端应用进行安全加固配置实践...
WeiyiGeek 唯一极客IT知识分享
08-15 2474
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x08 Kubernetes中ingress-nginx安全配置1.配置指定的 Ingress Class2.安全配置之强制跳转HTTPS3.安全配置之访问cors4.安全配置之防止DDOS请求限流5.安全配置之请求访问白名单6.安全配置之请求访问日志记录7.安全配置之Nginx指.........
【CLIP】3: semantic-text2image-search允许局访问
突围
11-28 478
若想同时支持 localhost 和外部访问,直接使用 --host 即可,它会绑定到所有可用的网络接口。
Java设置Access-Control-Allow-Origin允许多访问的实现方法
08-26
主要介绍了Java设置Access-Control-Allow-Origin允许多访问的实现方法,非常不错,具有一定的参考借鉴价,需要的朋友可以参考下
Access-Control-Allow-Origin如何给CORS设置多
weixin_57208584的博客
11-06 6205
作为通配符来说,直接变成对所有名公开,非常的不安全。那如何设置特定多个名?Vary:<header1> , <header2>... 某些字段进行缓存。因此,响应现支持字段Vary,其可以对报文中某个字段的缓存进行控制。Vary: * 所有字段都不进行缓存。控制哪些名可以共享资,取如下。
Multiple CORS header ‘Access-Control-Allow-Origin‘ not allowed
沐雨橙风ιε的博客
10-03 3629
点击右边的问号,原因找到了,服务端返回了两个Access-Control-Allow-Origin响应,因为网关配置了,后台系统也配置了,所以是gateway和fresheverday的响应一起返回给了前端。因为博主用的springcloud版本为2.2.6.RELEASE,所以在Spring官网打开的spring cloud gateway的文档页面地址对应的版本处改成2.2.6.RELEASE。但是,其实网关里是有配置的,只是忘了把前端项目的IP和端口号添加到设置里。
Access-Control-Allow-Origin 设置多
WHACKW的专栏
01-30 1万+
在HTML5中有一种新的方式,即设置“Access-Control-Allow-Origin”可以指定允许访问名。 Node.js中可以这样写 app.all(‘*’, function(req, res, next) { res.header(“Access-Control-Allow-Origin”, ‘https://www.google.com‘);
Cors(三):Access-Control-Allow-Origin名?
架构师:通透,才能写出好代码!
06-21 2万+
响应设置不合理,公司安全部门会请你喝茶
Java中设置多个Access-Control-Allow-Origin访问
个人博客
07-11 1万+
1、如果服务端是Java开发的,添加如下设置允许即可,但是这样做是允许所有名都可以访问,不够安全。 response.setHeader("Access-Control-Allow-Origin","*"); 2、为保证安全性,可以只添加部分名允许访问,添加位置可以在下面三处任选一个。 (1)可以在过滤器的filter的dofilter()方法种设置。 (2)可以在servlet...
k8s ingress 配置
乘茶蛙泳的博客
08-29 1407
k8s ingress 配置
k8s ingress CORS的解决方法
u010533742的博客
04-01 1660
ingress --traefik apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: test-ingress namespace: test labels: app: test-cors-app annotations: kubernetes.io/ingress.class: traefik traefik.ingress.kubernetes.io/custom-respons
kubernetes部署elasticsearch集群
最新发布
weixin_44066506的博客
06-20 1047
Elasticsearch是一个分布式可扩展的实时搜索和分析引擎,有restful接口,设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。这里将Elasticsearch集群部署k8s中,记录部署过程。
SpringMVC配置——如何设置多个Access-Control-Allow-Origin
薛定谔的雄猫
09-04 1万+
问题 , 后端允许设置 , springmvc设置 , Access-Control-Allow-Origin 配置多个名,XMLHttpRequest cannot load 'Access-Control-Allow-Origin' header is present on the requested resource , Origin is therefore not allowed access
拦截Access-Control-Allow-Origin设置多个origin
热门推荐
大JAVA解决方案
07-12 3万+
技术讨论QQ群:135202158 在Extjs和java项目碰到了需要同时处理,外部要访问后台接口的问题 原来的代码是这样,只能设置一个extjs前台需要过滤的请求 package com.xgt.config; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import j...
Access-Control-Allow-Origin设置多个
weixin_30788239的博客
04-17 1555
Access-Control-Allow-Origin只能返回一个。 所以用以下方法实现多个白名单名:创建一个数据,获取请求中origin,如果在数组里,就返回该origin,如果不在,就返回一个默认。 转载于:https://www.cnblogs.com/zipon/p/10722686.html...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值