Kong网关CORS插件正则表达式转义问题解析

问题背景

在使用Kong网关的CORS插件时，开发人员经常需要配置允许跨域请求的来源(origins)。当使用正则表达式来匹配多个子域名时，正确的转义处理尤为重要。近期在Kong 3.7和3.8版本中，一些原本在早期版本中正常工作的正则表达式配置开始出现验证错误。

问题现象

典型的配置示例如下：

config:
  origins:
    - 'http://localhost:8000'
    - 'https:\/\/[\w-_]+\.subdomain\.subdomain2\.domain\.com'
    - 'https:\/\/[\w-_]+\.subdomain\.domain\.com'

在Kong 3.6及以下版本中，这种配置能够正常工作。但在升级到3.7或3.8版本后，系统会报错提示"不是有效的正则表达式"。

问题根源

经过深入分析，发现问题出在正则表达式中的连字符(-)转义上。在正则表达式中，连字符在字符类([])内有特殊含义，表示字符范围(如[a-z])。当需要匹配实际的连字符时，必须进行转义。

原配置中的[\w-_]会被正则引擎解释为：

• \w：匹配任何单词字符(字母、数字和下划线)
• -_：尝试匹配从下划线到连字符的字符范围

这种解释会导致语法错误，因为下划线的ASCII值(95)高于连字符(45)，不能形成有效的范围。

解决方案

正确的做法是对连字符进行转义：

config:
  origins:
    - 'http://localhost:8000'
    - 'https:\/\/[\w\-_]+\.subdomain\.subdomain2\.domain\.com'
    - 'https:\/\/[\w\-_]+\.subdomain\.domain\.com'

修改后：

• \w仍然匹配单词字符
• \-明确表示匹配连字符本身
• _匹配下划线

版本差异说明

这个问题在Kong 3.7和3.8版本中才被发现，是因为这些版本加强了对正则表达式的严格验证。早期版本可能对某些不规范的表达式有更高的容忍度，但这并不意味着那些表达式是正确的。

最佳实践建议

1. 转义特殊字符：在正则表达式中，所有具有特殊含义的字符(如., +, ?, -, ^, $等)在需要匹配字面量时都应该转义。

2. 测试正则表达式：在应用到生产环境前，使用在线正则测试工具验证表达式的正确性。

3. 版本兼容性测试：升级Kong版本时，应该全面测试所有插件配置，特别是那些使用正则表达式的配置。

4. 文档参考：熟悉Kong官方文档中关于正则表达式使用的规范要求。

通过遵循这些实践，可以确保CORS插件在不同Kong版本间的稳定运行，同时保证安全策略的正确实施。