概述

跨域策略（CORS，Cross-Origin Resource Sharing）用于允许浏览器从不同源的页面访问该模型推理服务。跨域策略由网关在请求处理过程中自动注入对应的 CORS 响应头，无需后端服务自行处理。

适用场景

下列场景下推荐配置跨域策略：

• 前端应用与网关入口域名不一致：例如前端部署在 https://app.example.com，网关入口为 https://aigw.example.com，浏览器会按同源策略阻止前端直接调用网关接口，需要在网关侧开启 CORS。
• 将 AI 能力嵌入第三方网页：在 SaaS 网站、文档站、客户网页中通过浏览器调用网关推理接口，需要为这些来源域名显式开启跨域。
• 本地前端联调：开发阶段前端运行在 http://localhost:port，需要让浏览器跨域访问已部署的网关接口。
• 携带凭证的跨域调用：前端需要携带 Cookie、Authorization 等凭证调用网关，必须开启 allow_credentials，并显式指定允许的来源（不能使用通配符）。

操作步骤

1. 登录百度智能云 AI 原生网关控制台。
2. 在顶部导航栏选择目标地域，并在实例列表中单击目标实例 ID，进入实例详情页。
3. 在左侧导航栏选择 AI 服务 > 模型推理服务。

4. 创建或编辑一个模型推理服务：

   • 创建场景：单击列表上方的 创建推理服务。
   • 编辑场景：在目标服务的操作列单击 编辑。
5. 滚动到页面底部的 高级策略 模块，在 跨域 下勾选 开启跨域。

6. 配置以下参数：

   配置项	是否必填	说明
   allow_credentials	必填	对应 CORS 协议中的 Access-Control-Allow-Credentials。开启后，浏览器在跨域请求中可携带 Cookie、Authorization 等凭证信息。请谨慎开启，开启后 allow_origins 不能使用通配符。
   allow_origins	必填	对应 Access-Control-Allow-Origin。指定允许跨域访问的来源域名，至少配置 1 条，单击 添加 可新增多条。每条由两部分组成： 匹配类型：精确匹配、正则匹配。 Origin 值：来源域名，例如 https://example.com。
   allow_methods	必填	对应 Access-Control-Allow-Methods。从 GET、POST、PUT、DELETE、OPTIONS、HEAD、PATCH 中多选，默认全部启用。
   allow_headers	必填	对应 Access-Control-Allow-Headers。声明跨域请求中允许携带的非 CORS 规范的 Header 字段。多个值之间以英文逗号分隔，支持通配符 * 表示全部。
   expose_headers	选填	对应 Access-Control-Expose-Headers。声明哪些响应 Header 字段允许浏览器读取。多个值之间以英文逗号分隔，支持通配符 *。
   max_age	选填	对应 Access-Control-Max-Age。浏览器对预检请求（OPTIONS）结果的缓存时间，单位为秒，默认 7200。在该时间内浏览器会复用上一次的预检结果，无需重复发送 OPTIONS 请求。

7. 配置完成后，单击页面底部的 发布，策略发布后即时生效。