API Management è un servizio PaaS della piattaforma Microsoft Azure che permette fornire e amministrare API web, tipicamente REST. Dispone di molte funzionalità, come il routing, la possibilità di fare mock e di proteggere le chiamate oppure di fare cache delle risposte.
In quanto API, molto spesso esse vengono interrogate da un client web, perciò sottoposte ai controlli di sicurezza dei browser. Per evitare che del codice malevolo facce chiamate a host non autorizzati, i browser effettuano una chiamata di controllo all'endpoint e controllano la presenza di header di nome Access-Control-Allow-* per indicare quali domini, header e metodi sono consentiti. Queste informazioni che prendono il nome di Cross-Origin Resource Sharing (CORS) possono essere restituite direttamente dal backend, oppure, cosa più vantaggiosa, direttamente dalle API Management indipendentemente dai servizi sottostanti.
Posizioniamoci quindi dal portale sulle policy di nostro interesse che sono accessibili attraverso il prodotto e selezioniamo dalla lista la voce CORS.

Nell'XML dobbiamo definire gli aspetti di inbound e di outbound. Prendiamo come esempio questa policy.
<policies> <inbound> <base /> <cors allow-credentials="true"> <allowed-origins> <origin>http://website1.com</origin> <origin>http://website2.com</origin> </allowed-origins> <allowed-methods> <method>GET</method> </allowed-methods> <allowed-headers> <header>content-type</header> <header>accept</header> </allowed-headers> </cors> </inbound> <backend> <base /> </backend> <outbound> <base /> <set-header name="Access-Control-Allow-Origin" exists-action="override"> <value>*</value> </set-header> <set-header name="Access-Control-Allow-Credentials" exists-action="override"> <value>true</value> </set-header> </outbound> <on-error> <base /> </on-error> </policies>
Essa definisce:
- La possibilità di inviare token autorizzativi;
- La lista dei domini nella quale risiede il client dai quali è possibile effettuare una richiesta;
- I metodi HTTP consentiti;
- Gli header HTTP consentiti. Quest'ultimi sono molto importanti e possono essere molteplici a seconda del framework che stiamo utilizzando;
- Gli header da impostare in uscita riproponendo lo stesso dominio di origine e consentendo l'invio delle credenziali.
Salvata la policy possiamo provare con tool come cURL o Fiddler ad effettuare una richiesta OPTIONS e vedere gli header in risposta per avere la certezza di quello che abbiamo fatto. Qualora ricevessimo degli errori dai browser, è opportuno controllare nella richiesta quali valori vengono mandati per gli header Access-Control-Request-* ed intervenire per allinearli a quanto abbiamo specificato nelle policy.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Effettuare il refresh dei dati di una QuickGrid di Blazor
Recuperare App Service cancellati su Azure
Gestire gli accessi con Token su Azure Container Registry
Utilizzare una qualunque lista per i parametri di tipo params in C#
Utilizzare il metodo ExceptBy per eseguire operazione di sottrazione tra liste
Rendere le variabili read-only in una pipeline di Azure DevOps
Migliorare l'organizzazione delle risorse con Azure Policy
Sfruttare gli embedding e la ricerca vettoriale con Azure SQL Database
Creare una libreria CSS universale: Nav menu
Utilizzare gRPC su App Service di Azure
Aprire una finestra di dialogo per selezionare una directory in WPF e .NET 8
Supportare lo HierarchyID di Sql Server in Entity Framework 8
I più letti di oggi
- .NET Conference Italia 2024 - Milano
- Develop and distribute Azure Functions using K8s and CI/CD
- Disponibile la versione finale di Hyper-V: la virtualizzazione per Windows Server 2008
- Speciale Mastering Entity Framework
- Velocity arriva alla CTP3
- Silverlight Summer: un'estate speciale piena di Style per i controlli Silverlight!
- Disponibile la versione beta di Silverlight 4.0
- Mono 0.13: ora anche web services
- .NET Alerts Software Development Kit