HTTP 头

自 2.1.0 起

在配置中定义的 header 会随响应一起发送到 webview。这不包括 IPC 消息和错误响应。更具体地说，通过 crates/tauri/src/protocol/tauri.rs ↗ 中的 get_response 函数发送的每个响应都将包含这些 header。

Header 名称

Header 名称限于：

• Access-Control-Allow-Credentials ↗
• Access-Control-Allow-Headers ↗
• Access-Control-Allow-Methods ↗
• Access-Control-Expose-Headers ↗
• Access-Control-Max-Age ↗
• Cross-Origin-Embedder-Policy ↗
• Cross-Origin-Opener-Policy ↗
• Cross-Origin-Resource-Policy ↗
• Permissions-Policy ↗
• Service-Worker-Allowed ↗
• Timing-Allow-Origin ↗
• X-Content-Type-Options ↗
• Tauri-Custom-Header

注意

Tauri-Custom-Header 不适用于生产环境。

注意

Content-Security-Policy (CSP) 不在此处定义。

如何配置 Header

• 用字符串
• 用字符串数组
• 用对象/键值对，其中值必须是字符串
• 用 null

Header 值总是被转换为字符串用于实际响应。根据配置文件的样子，一些 header 值需要组合。这些是组合创建的规则：

• string: 保持不变作为最终的 header 值
• array: 项目通过 , 连接作为最终的 header 值
• key-value: 项目由：key + 空格 + value 组成。项目通过 ; 连接作为最终的 header 值
• null: header 将被忽略

示例

src-tauri/tauri.conf.json

{
 //...
  "app":{
    //...
    "security": {
      //...
      "headers": {
        "Cross-Origin-Opener-Policy": "same-origin",
        "Cross-Origin-Embedder-Policy": "require-corp",
        "Timing-Allow-Origin": [
          "https://mdn.org.cn",
          "https://example.com",
        ],
        "X-Content-Type-Options": null, // gets ignored
        "Access-Control-Expose-Headers": "Tauri-Custom-Header",
        "Tauri-Custom-Header": {
          "key1": "'value1' 'value2'",
          "key2": "'value3'"
        }
      },
      // notice how the CSP is not defined under headers
      "csp": "default-src 'self'; connect-src ipc: http://ipc.localhost",
    }
  }
}

注意

Tauri-Custom-Header 不适用于生产环境。对于测试：请记住相应设置 Access-Control-Expose-Headers。

在此示例中，Cross-Origin-Opener-Policy 和 Cross-Origin-Embedder-Policy 设置为允许使用 SharedArrayBuffer ↗。Timing-Allow-Origin 允许从列出的网站加载的脚本通过 Resource Timing API ↗ 访问详细的网络计时数据。

对于 helloworld 示例，此配置结果为：

access-control-allow-origin:  http://tauri.localhost
access-control-expose-headers: Tauri-Custom-Header
content-security-policy: default-src 'self'; connect-src ipc: http://ipc.localhost; script-src 'self' 'sha256-Wjjrs6qinmnr+tOry8x8PPwI77eGpUFR3EEGZktjJNs='
content-type: text/html
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
tauri-custom-header: key1 'value1' 'value2'; key2 'value3'
timing-allow-origin: https://mdn.org.cn, https://example.com

框架

某些开发环境需要额外的设置来模拟生产环境。

JavaScript/TypeScript

对于使用构建工具 Vite 的设置（包括 Qwik、React、Solid、Svelte 和 Vue），请将所需的 header 添加到 vite.config.ts。

vite.config.ts

import { defineConfig } from 'vite';

export default defineConfig({
  // ...
  server: {
      // ...
      headers: {
        'Cross-Origin-Opener-Policy': 'same-origin',
        'Cross-Origin-Embedder-Policy': 'require-corp',
        'Timing-Allow-Origin': 'https://mdn.org.cn, https://example.com',
        'Access-Control-Expose-Headers': 'Tauri-Custom-Header',
        'Tauri-Custom-Header': "key1 'value1' 'value2'; key2 'value3'"
      },
    },
})

有时 vite.config.ts 会集成到框架的配置文件中，但设置保持不变。对于 Angular，将它们添加到 angular.json。

angular.json

{
  //...
  "projects":{
    //...
    "insert-project-name":{
      //...
      "architect":{
        //...
        "serve":{
          //...
          "options":{
            //...
            "headers":{
              "Cross-Origin-Opener-Policy": "same-origin",
              "Cross-Origin-Embedder-Policy": "require-corp",
              "Timing-Allow-Origin": "https://mdn.org.cn, https://example.com",
              "Access-Control-Expose-Headers": "Tauri-Custom-Header",
              "Tauri-Custom-Header": "key1 'value1' 'value2'; key2 'value3'"
            }
          }
        }
      }
    }
  }
}

对于 Nuxt，添加到 nuxt.config.ts。

nuxt.config.ts

export default defineNuxtConfig({
  //...
  vite: {
    //...
    server: {
      //...
      headers:{
        'Cross-Origin-Opener-Policy': 'same-origin',
        'Cross-Origin-Embedder-Policy': 'require-corp',
        'Timing-Allow-Origin': 'https://mdn.org.cn, https://example.com',
        'Access-Control-Expose-Headers': 'Tauri-Custom-Header',
        'Tauri-Custom-Header': "key1 'value1' 'value2'; key2 'value3'"
      }
    },
  },
});

Next.js 不依赖 Vite，因此方法不同。有关更多信息，请参阅此处 ↗。header 在 next.config.js 中定义。

next.config.js

module.exports = {
  //...
  async headers() {
    return [
      {
        source: '/*',
        headers: [
          {
            key: 'Cross-Origin-Opener-Policy',
            value: 'same-origin',
          },
          {
            key: 'Cross-Origin-Embedder-Policy',
            value: 'require-corp',
          },
          {
            key: 'Timing-Allow-Origin',
            value: 'https://mdn.org.cn, https://example.com',
          },
          {
            key: 'Access-Control-Expose-Headers',
            value: 'Tauri-Custom-Header',
          },
          {
            key: 'Tauri-Custom-Header',
            value: "key1 'value1' 'value2'; key2 'value3'",
          },
        ],
      },
    ]
  },
}

Rust

对于 Yew 和 Leptos，将 header 添加到 Trunk.toml。

Trunk.toml

#...
[serve]
#...
headers = {
  "Cross-Origin-Opener-Policy" = "same-origin",
  "Cross-Origin-Embedder-Policy" = "require-corp",
  "Timing-Allow-Origin" = "https://mdn.org.cn, https://example.com",
  "Access-Control-Expose-Headers" = "Tauri-Custom-Header",
  "Tauri-Custom-Header" = "key1 'value1' 'value2'; key2 'value3'"
}