HTTP 头

自 2.1.0 版本起

在配置中定义的 Header 将会随响应一起发送到 Webview。这不包含 IPC 消息和错误响应。具体来说，通过 crates/tauri/src/protocol/tauri.rs 中的 get_response 函数发送的每个响应都会包含这些 Header。

Header 名称

Header 名称限制为：

• Access-Control-Allow-Credentials ↗
• Access-Control-Allow-Headers ↗
• Access-Control-Allow-Methods ↗
• Access-Control-Expose-Headers ↗
• Access-Control-Max-Age ↗
• Cross-Origin-Embedder-Policy ↗
• Cross-Origin-Opener-Policy ↗
• Cross-Origin-Resource-Policy ↗
• Permissions-Policy ↗
• Service-Worker-Allowed ↗
• Timing-Allow-Origin ↗
• X-Content-Type-Options ↗
• Tauri-Custom-Header

注意

Tauri-Custom-Header 不适用于生产环境。

注意

内容安全策略 (CSP) 不在此处定义。

如何配置 Header

• 使用字符串
• 使用字符串数组
• 使用对象/键值对（值必须为字符串）
• 使用 null

Header 的值在最终响应中总是会被转换为字符串。根据配置文件的编写方式，可能需要对某些 Header 值进行组合。以下是组合的规则：

• string: 保持不变作为结果 Header 值
• array: 项目通过 , 连接，作为结果 Header 值
• key-value: 项目由 “键 + 空格 + 值” 组成，项目之间通过 ; 连接，作为结果 Header 值
• null: 该 Header 将被忽略

示例

src-tauri/tauri.conf.json

{
 //...
  "app":{
    //...
    "security": {
      //...
      "headers": {
        "Cross-Origin-Opener-Policy": "same-origin",
        "Cross-Origin-Embedder-Policy": "require-corp",
        "Timing-Allow-Origin": [
          "https://mdn.org.cn",
          "https://example.com",
        ],
        "X-Content-Type-Options": null, // gets ignored
        "Access-Control-Expose-Headers": "Tauri-Custom-Header",
        "Tauri-Custom-Header": {
          "key1": "'value1' 'value2'",
          "key2": "'value3'"
        }
      },
      // notice how the CSP is not defined under headers
      "csp": "default-src 'self'; connect-src ipc: http://ipc.localhost",
    }
  }
}

注意

Tauri-Custom-Header 不适用于生产环境。对于测试：请记住相应地设置 Access-Control-Expose-Headers。

在这个例子中，Cross-Origin-Opener-Policy 和 Cross-Origin-Embedder-Policy 被设置为允许使用 SharedArrayBuffer ↗。Timing-Allow-Origin 授予从所列网站加载的脚本通过 资源计时 API (Resource Timing API) ↗ 访问详细网络计时数据的权限。

对于 helloworld 示例，该配置产生的结果为

access-control-allow-origin:  http://tauri.localhost
access-control-expose-headers: Tauri-Custom-Header
content-security-policy: default-src 'self'; connect-src ipc: http://ipc.localhost; script-src 'self' 'sha256-Wjjrs6qinmnr+tOry8x8PPwI77eGpUFR3EEGZktjJNs='
content-type: text/html
cross-origin-embedder-policy: require-corp
cross-origin-opener-policy: same-origin
tauri-custom-header: key1 'value1' 'value2'; key2 'value3'
timing-allow-origin: https://mdn.org.cn, https://example.com

框架

某些开发环境需要额外的设置来模拟生产环境。

注意

为了让这些框架的 Header 生效，你可能需要在框架的配置（用于开发模式）和 Tauri 配置（用于构建模式）中同时定义它们。这是因为：

• 在构建时，框架不会包含在其配置文件中定义的 Header。
• Tauri 无法将 Header 注入框架的开发服务器 —— 它只能将 Header 注入最终的构建产物中。

JavaScript/TypeScript

对于运行构建工具 Vite 的设置（包括 Qwik, React, Solid, Svelte 和 Vue），请将所需的 Header 添加到 vite.config.ts 中。

vite.config.ts

import { defineConfig } from 'vite';

export default defineConfig({
  // ...
  server: {
      // ...
      headers: {
        'Cross-Origin-Opener-Policy': 'same-origin',
        'Cross-Origin-Embedder-Policy': 'require-corp',
        'Timing-Allow-Origin': 'https://mdn.org.cn, https://example.com',
        'Access-Control-Expose-Headers': 'Tauri-Custom-Header',
        'Tauri-Custom-Header': "key1 'value1' 'value2'; key2 'value3'"
      },
    },
})

有时 vite.config.ts 是集成在框架的配置文件中的，但设置方式保持不变。对于 Angular，请将它们添加到 angular.json。

angular.json

{
  //...
  "projects":{
    //...
    "insert-project-name":{
      //...
      "architect":{
        //...
        "serve":{
          //...
          "options":{
            //...
            "headers":{
              "Cross-Origin-Opener-Policy": "same-origin",
              "Cross-Origin-Embedder-Policy": "require-corp",
              "Timing-Allow-Origin": "https://mdn.org.cn, https://example.com",
              "Access-Control-Expose-Headers": "Tauri-Custom-Header",
              "Tauri-Custom-Header": "key1 'value1' 'value2'; key2 'value3'"
            }
          }
        }
      }
    }
  }
}

对于 Nuxt，请将其添加到 nuxt.config.ts。

nuxt.config.ts

export default defineNuxtConfig({
  //...
  vite: {
    //...
    server: {
      //...
      headers:{
        'Cross-Origin-Opener-Policy': 'same-origin',
        'Cross-Origin-Embedder-Policy': 'require-corp',
        'Timing-Allow-Origin': 'https://mdn.org.cn, https://example.com',
        'Access-Control-Expose-Headers': 'Tauri-Custom-Header',
        'Tauri-Custom-Header': "key1 'value1' 'value2'; key2 'value3'"
      }
    },
  },
});

Next.js 不依赖于 Vite，因此方法有所不同。请阅读更多相关信息 此处 ↗。Header 定义在 next.config.js 中。

next.config.js

module.exports = {
  //...
  async headers() {
    return [
      {
        source: '/*',
        headers: [
          {
            key: 'Cross-Origin-Opener-Policy',
            value: 'same-origin',
          },
          {
            key: 'Cross-Origin-Embedder-Policy',
            value: 'require-corp',
          },
          {
            key: 'Timing-Allow-Origin',
            value: 'https://mdn.org.cn, https://example.com',
          },
          {
            key: 'Access-Control-Expose-Headers',
            value: 'Tauri-Custom-Header',
          },
          {
            key: 'Tauri-Custom-Header',
            value: "key1 'value1' 'value2'; key2 'value3'",
          },
        ],
      },
    ]
  },
}

Rust

对于 Yew 和 Leptos，请将 Header 添加到 Trunk.toml。

Trunk.toml

#...
[serve]
#...
headers = {
  "Cross-Origin-Opener-Policy" = "same-origin",
  "Cross-Origin-Embedder-Policy" = "require-corp",
  "Timing-Allow-Origin" = "https://mdn.org.cn, https://example.com",
  "Access-Control-Expose-Headers" = "Tauri-Custom-Header",
  "Tauri-Custom-Header" = "key1 'value1' 'value2'; key2 'value3'"
}