Supabase Edge Function CORS问题解决方案

前言

在使用Supabase的Edge Function功能时，开发者经常会遇到跨域资源共享(CORS)问题。本文将从技术原理到解决方案，全面解析如何正确处理Supabase Edge Function的CORS配置。

CORS问题本质

当浏览器端JavaScript尝试调用不同源的API时，浏览器会执行CORS安全检查。Supabase Edge Function默认部署在与前端应用不同的域名下，因此会触发CORS机制。

常见错误表现

开发者通常会看到如下错误信息：

Access to fetch at 'https://xxx.supabase.co/functions/v1/xxx' from origin 'https://www.example.com' has been blocked by CORS policy

完整解决方案

1. Edge Function端配置

在Edge Function代码中，需要添加CORS响应头。以下是完整示例：

// 定义CORS头
const corsHeaders = {
  'Access-Control-Allow-Origin': '*',
  'Access-Control-Allow-Headers': 'authorization, x-client-info, apikey, content-type',
  'Access-Control-Allow-Methods': 'POST, GET, OPTIONS'
}

// 处理预检请求
if (req.method === 'OPTIONS') {
  return new Response('ok', { headers: corsHeaders })
}

// 处理实际请求
const responseData = { message: 'Hello World' }
return new Response(JSON.stringify(responseData), {
  headers: {
    ...corsHeaders,
    'Content-Type': 'application/json'
  }
})

2. 客户端调用方式

客户端调用时也需要确保配置正确：

const { data } = await supabase.functions.invoke('function-name', {
  body: { key: 'value' }
})

技术原理详解

1. 预检请求(OPTIONS)：浏览器在发送实际请求前会先发送OPTIONS请求检查CORS权限
2. 响应头作用：
   • Access-Control-Allow-Origin：指定允许访问的源
   • Access-Control-Allow-Methods：指定允许的HTTP方法
   • Access-Control-Allow-Headers：指定允许的请求头

安全建议

1. 生产环境中应将Access-Control-Allow-Origin设置为具体域名而非通配符*
2. 对于敏感操作，建议添加额外的身份验证机制
3. 合理限制允许的HTTP方法和请求头

总结

正确处理Supabase Edge Function的CORS配置需要同时考虑服务端和客户端的实现。通过正确设置响应头和处理预检请求，可以确保前端应用能够安全地调用Edge Function。开发者应根据实际业务需求调整CORS策略，在便利性和安全性之间取得平衡。