【WEB】CORS 配置的进阶技巧与注意事项

最新推荐文章于 2025-04-01 17:03:03 发布
最新推荐文章于 2025-04-01 17:03:03 发布
阅读量1.4k 收藏 19
点赞数 27
分类专栏: web 文章标签: 前端 web 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stromboli/article/details/143754837
版权

目录

引言

跨域资源共享(CORS,Cross-Origin Resource Sharing)是现代 Web 开发中非常重要的技术,它解决了浏览器出于安全考虑对不同源之间请求的限制问题。为了能够在前端与后端之间安全、灵活地进行数据交换,CORS 配置变得尤为重要。随着 Web 应用和 API 复杂度的增加,开发者需要更深入地理解和配置 CORS 本机制。本文将深入探讨 CORS 配置的进阶技巧、注意事项,并提供详细的代码示例、注释及图示。

一、动态设置 CORS 响应头

1.1 什么是动态 CORS 配置?

动态 CORS 配置的核心思想是根据请求的来源(Origin)动态决定是否允许跨域访问。这是一个非常常见的需求,因为很多 Web 应用并非只服务一个固定的域,而是需要灵活支持多个域的跨域请求。

示例:动态设置 CORS 配置(Node.js)

const express = require('express');
const app = express();

// CORS 中间件,动态设置 Access-Control-Allow-Origin
app.use((req, res, next) => {
  const allowedOrigins = ['https://www.example1.com', 'https://www.example2.com'];
  const origin = req.headers.origin;

  if (allowedOrigins.includes(origin)) {
    res.setHeader('Access-Control-Allow-Origin', origin); // 允许的来源
  } else {
    res.setHeader('Access-Control-Allow-Origin', ''); // 不允许其他来源
  }

  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.setHeader('Access-Control-Allow-Credentials', 'true'); // 允许带上 cookies

  next();
});

// 简单接口返回数据
app.get('/data', (req, res) => {
  res.json({ message: 'This is data' });
});

app.listen(3000, () => console.log('Server is running on port 3000'));

解释与扩展

  1. 动态检查请求来源:根据请求头中的 Origin 动态设置 Access-Control-Allow-Origin,如果请求来源在允许的域名列表中,就允许跨域请求。
  2. 跨域控制:通过响应头部设置,除了允许的来源之外,其他域名的请求都无法跨域访问。

这种方法适用于多个域名需要访问同一个 API,但并非所有的域都可以进行跨域访问的场景。

1.2 为什么需要动态设置 CORS?

动态设置 CORS 响应头的原因可以总结为:

  • 安全性:你可以确保只有经过验证和信任的域才能访问你的资源。
  • 灵活性:不同的子域或独立的 Web 应用可以被允许访问 API,而其他不需要的域则会被拒绝。

例如,假设你有一个在线商城 API,它需要允许来自多个子域(如 www.example.comshop.example.com)的请求,但不希望允许其他未经验证的域名。

1.3 动态 CORS 配置的注意事项

  • 性能问题:每次请求时都要检查域名是否在白名单中,可能会影响性能。为了优化性能,可以使用缓存机制,避免每次都进行动态计算。
  • 安全性问题:对于不信任的域名,需要确保严格验证来源,避免攻击者通过伪造的请求获取数据。

二、设置 Access-Control-Allow-Credentialstrue

2.1 什么是 Access-Control-Allow-Credentials

Access-Control-Allow-Credentials 是一个 CORS 响应头,用来指示浏览器在发起跨域请求时是否允许携带用户凭证(如 cookies、HTTP 认证信息等)。默认情况下,跨域请求不会携带这些凭证,除非显式设置。

示例:带凭证的跨域请求(前端)

fetch('https://api.example.com/data', {
  method: 'GET',
  credentials: 'include', // 允许携带 cookies
  headers: {
    'Authorization': 'Bearer token'
  }
})
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error('Error:', error));

在上面的代码中,credentials: 'include' 表示跨域请求时允许携带 cookies 等认证信息。

后端设置 Access-Control-Allow-Credentials

app.use(cors({
  origin: 'https://www.example.com',  // 只允许特定的域访问
  credentials: true,  // 允许携带 cookies
  methods: ['GET', 'POST', 'PUT'],
}));

2.2 为什么需要 Access-Control-Allow-Credentials

允许凭证跨域访问的场景通常包括:

  • 认证:当用户已登录时,前端需要携带凭证(如 cookies 或 HTTP 认证信息)以进行身份验证。
  • 权限管理:只有经过认证的用户才可以访问特定的资源,开启凭证支持可以确保请求附带用户信息。

2.3 Access-Control-Allow-Credentials 的常见错误

  • 错误配置:当你设置 credentials: true 时,Access-Control-Allow-Origin 不能是 *。必须明确指定允许的来源。

错误示例

// 错误配置,不能同时使用 * 和 credentials: true
app.use(cors({
  origin: '*',
  credentials: true
}));

解决方法

// 正确配置,明确指定 origin
app.use(cors({
  origin: 'https://www.example.com', // 明确的域名
  credentials: true
}));

三、处理 CORS 的预检请求

3.1 什么是预检请求?

预检请求(preflight request)是浏览器在发起复杂的跨域请求之前,自动向服务器发送的 OPTIONS 请求。它的作用是询问服务器是否允许特定的跨域操作。预检请求通常在请求方法为 PUTDELETE,或者请求头中包含自定义字段时发起。

3.2 如何处理预检请求?

服务器必须能够正确响应预检请求,否则浏览器将无法继续进行实际的跨域请求。

示例:处理预检请求(Node.js

app.options('*', (req, res) => {
  res.setHeader('Access-Control-Allow-Origin', '*');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.setHeader('Access-Control-Max-Age', '86400');  // 预检请求缓存24小时
  res.send();
});

在这个例子中,我们通过 app.options('*') 来处理所有的预检请求,并返回必要的 CORS 头信息。设置 Access-Control-Max-Age 为 86400 秒(24 小时),使得浏览器在 24 小时内无需再次发起预检请求。

3.3 预检请求的常见问题

  • 问题:预检请求未得到正确响应。
    解决方法:确保服务器能够响应 OPTIONS 请求,并且响应中包含 Access-Control-Allow-MethodsAccess-Control-Allow-Headers 等头部信息。

四、跨域请求时的 Authorization 头部问题

4.1 Authorization 头部的 CORS 配置

在跨域请求中,Authorization 头部常用于携带令牌(如 Bearer Token)。为了允许浏览器发送带有 Authorization 头部的跨域请求,服务器需要显式地允许该头部。

示例:允许 Authorization 头部(Node.js)

app.use(cors({
  allowedHeaders: ['Content-Type', 'Authorization'], // 允许自定义头部
}));

4.2 Authorization 头部常见问题

  • 问题:服务器没有正确配置允许 Authorization 头部,导致浏览器拒绝请求。
    解决方法:在 CORS 响应头中明确列出 Authorization,使浏览器能够接受该头部。

五、特定路径的 CORS 配置

5.1 配置特定路径的 CORS 策略

有时我们不希望为整个应用启用 CORS,而是只为某些 API 路径启用跨域请求。可以通过为特定的路由配置 CORS 来实现。

示例:仅为特定路径启用 CORS(Express)

const cors = require('cors');

// 仅为 /public-api 路径启用 CORS
app.get('/public-api', cors(), (req, res) => {
  res.json({ message: 'This is a public API' });
});

// /private-api 路径不启用 CORS
app.get('/private-api', (req, res) =>```javascript
  res.json({ message: 'This is a private API' });
});

解释

在这个例子中,我们为 /public-api 路径单独配置了 CORS(通过 cors() 中间件),而 /private-api 路径没有启用 CORS 策略。这使得你能够精确控制哪些 API 可以跨域访问,哪些不能。这样能够根据 API 的敏感性,选择性地允许或拒绝跨域请求。

这种方式常见于有部分开放 API 和部分私密 API 的情况。例如,某些公共资源可能需要对外开放,而某些涉及敏感数据的资源则需要严格的跨域访问控制。

5.2 为特定路径设置动态 CORS

如果你需要根据请求的具体路径或者请求头来动态配置 CORS(比如允许某些请求路径携带不同的凭证),你可以针对每个路径分别定义不同的 CORS 策略。

app.use('/api/public', cors({
  origin: 'https://www.example.com',
  methods: ['GET', 'POST'],
  credentials: true,
}));

app.use('/api/private', cors({
  origin: 'https://www.private-allowed.com',
  methods: ['GET'],
  credentials: false,
}));

5.3 路由级别的 CORS 配置注意事项

  • 优先级:路由级别的 CORS 配置通常优先于全局配置,具体顺序可以参考应用的中间件顺序。
  • 灵活性与控制:当你的应用中有多个不同的资源时,通过为不同路径配置 CORS,你可以灵活地控制哪些 API 路径可以接受跨域请求,哪些不能。

六、CORS 与 JWT(JSON Web Token)

6.1 结合 JWT 进行身份验证

在现代 Web 开发中,JWT 通常用于用户身份验证。为了确保 CORS 请求能够携带有效的 JWT 令牌,你需要正确配置 CORS 响应头,允许带上 Authorization 头部,并在服务器端进行验证。

前端:发送带有 JWT 的请求

fetch('https://api.example.com/protected-data', {
  method: 'GET',
  headers: {
    'Authorization': 'Bearer your-jwt-token-here'
  },
  credentials: 'include' // 携带 cookies(如果有)
})
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error('Error:', error));

后端:配置 CORS 以允许携带 JWT

app.use(cors({
  origin: 'https://www.frontend.com',
  credentials: true,  // 允许跨域请求携带凭证
  allowedHeaders: ['Content-Type', 'Authorization'],  // 允许带 Authorization 头部
}));

6.2 CORS 与 JWT 的挑战

  • 安全性:确保 Access-Control-Allow-Origin 不使用 *,因为这会暴露 JWT 等敏感数据给不受信任的域。
  • 跨域 Cookies:若你希望跨域请求时带上 cookies,必须设置 credentials: 'include',并且后端响应中 Access-Control-Allow-Credentials 必须设置为 true

JWT 配合 CORS 使用的安全建议

  • 使用 HTTPS 保护数据传输。
  • JWT 的存储要注意安全,不要直接存储在浏览器的 localStorage 中,而是存储在 httpOnly cookies 中,这样能有效防止 XSS 攻击。

七、CORS 的调试技巧

7.1 使用浏览器开发者工具

大部分浏览器(如 Chrome、Firefox)提供了开发者工具,能够方便地查看跨域请求的详细信息,包括请求头、响应头以及 CORS 错误信息。具体操作如下:

  1. 打开浏览器开发者工具(F12 或右键点击页面选择“检查”)。
  2. 转到“Network”标签页,查看你的跨域请求。
  3. 如果发生 CORS 错误,你通常会在控制台看到类似以下的信息:
    • Access to XMLHttpRequest at 'https://api.example.com' from origin 'https://www.frontend.com' has been blocked by CORS policy
    • CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status

7.2 CORS 错误的常见排查步骤

  • 检查响应头:确保响应中包含正确的 CORS 头部,特别是 Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers
  • 查看预检请求:预检请求(OPTIONS 请求)需要正确响应,返回必要的 CORS 信息(如 Access-Control-Allow-Methods)。
  • 确认 CORS 配置是否与客户端请求匹配:例如,客户端是否在请求中发送了某些自定义头部,后端是否允许这些头部。

总结与最佳实践

CORS 配置是确保 Web 应用跨域安全访问的关键。正确理解 CORS 策略、合理配置 CORS 响应头以及处理复杂的跨域场景至关重要。以下是一些最佳实践:

  • 严格控制 Access-Control-Allow-Origin:避免使用 *,特别是在涉及用户认证和敏感数据的 API 上。
  • 开启预检请求的缓存:通过 Access-Control-Max-Age 设置预检请求的缓存时间,减少不必要的请求。
  • 支持凭证(cookies、HTTP 认证)时,确保设置 credentialstrue
  • 为不同路径配置不同的 CORS 策略:针对公开和私密 API 路径采用不同的跨域策略。
  • 调试 CORS 错误时,关注浏览器控制台和开发者工具:这将帮助你快速定位配置问题。

通过这些技巧和最佳实践,你可以更好地理解并掌控 CORS,确保 Web 应用的跨域通信既安全又高效。

Spring Boot3 跨域配置 Cors
xdpcxq1029的博客
01-19 1278
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
Spring 里多种 CORS 配置方式
许久
02-14 2395
参考:https://cloud.tencent.com/developer/article/1703212 https://cloud.tencent.com/developer/article/1513473 一、CORS 介绍 CORS全称是Cross-Origin Resource Sharing,直译过来就是跨域资源共享。 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情.
cors跨域配置
xqhys的博客
03-18 5461
转载:https://blog.csdn.net/q826qq1878/article/details/81230936 目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分...
跨域请求CORS配置方法详解
最新发布
Gene Z.的博客
04-01 587
处理跨域请求(CORS)需要通过服务器配置策略,确保不同源的客户端(如浏览器)能安全访问资源。在指定允许访问的源(域名),支持通配符(慎用)或具体域名。允许的 HTTP 方法(如GETPOSTPUT允许客户端携带的请求头(如(可选)是否允许发送 Cookie(需配合使用)。复杂请求(如)会触发OPTIONSOPTIONS。
【个人博客搭建】(19)Cors跨域配置
【PlateauSnow】的博客
05-28 637
net 8 Cors跨域配置
CORS(跨域资源共享) 的配置
autumn20080101的专栏
05-19 414
CORS(跨域资源共享) 的配置 2014-05-26 10:23 12415人阅读 评论(3) 收藏 举报 本文章已收录于: 分类: html/js(6) 作者同类文章X http://blog.csdn.net/ohyoyo2014/article/details/24863197
【Delphi开发者秘籍】:专家忠告:TWebBrowser HTML源码提取的技巧注意事项
[【Delphi开发者秘籍】:专家忠告:TWebBrowser HTML源码提取的技巧注意事项](https://cornerpirate.com/wp-content/uploads/2021/05/xss-via-html5-2.0.png?w=1024) # 摘要 TWebBrowser组件在软件开发中常用于...
【Nginx配置进阶秘籍】:权威解答,突破上传文件大小限制的500错误
本文首先概述了Nginx的基础知识文件上传限制问题,随后深入探讨了Nginx的配置文件上传机制,以及突破上传大小限制的实战技巧。文章详细分析了Nginx安全配置维护方法,提供了高级应用案例分析,并探讨了Nginx...
Nginx子域名跨域处理:解决方案注意事项
[Nginx子域名跨域处理:解决方案注意事项](https://synodus.com/wp-content/uploads/2022/12/nginx-back-end-web-development-tools-1024x513.webp) # 摘要 本文系统探讨了Nginx在处理子域名跨域问题中的应用,...
【.NET6.0进阶秘籍】:深入解析WPFWebapi的协同工作
本文全面探讨了.NET 6.0的新特性和WPF的深入应用,同时也覆盖了WebAPI开发的实践测试方法。文章首先概述了.NET 6.0的核心新特性,并探讨了WPF的基础知识和高级技术,包括数据绑定、样式模板以及性能优化。接着,...
JavaScript进阶之路:MDN教程的高级技巧
参考资源链接:[MDN离线文档:中文API镜像及注意事项](https://wenku.csdn.net/doc/68x0ofhfub?spm=1055.2635.3001.10343) # 1. JavaScript进阶概念理解 ## 1.1 编程范式JavaScript JavaScript是一种多范式的...
2. nginx CORS配置
kaifei的博客
06-01 6655
nginx CORS 配置
SpringBoot配置cors
java scala
09-16 1888
先简单介绍一下CORS的背景 同源策略 跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 跨域资源共享 CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRe
腾讯云cors配置
wangjun5159的专栏
05-21 3990
先解释一下,cors(cross origin[ˈɔ:rɪdʒɪn] resource share),跨域资源共享,是跨域访问的一种方式。问题的由来mozilla pdf.js是一款优秀的pdf在线预览插件,它通过ajax请求获取文档,然后呈现。因为文档存储在腾讯云上,所以这就产生了跨域访问。 注意这里有两个要素, - 这是一个ajax请求,如果是一个普通请求,虽然是跨域,但是浏览器不会限制。
Nginx | Nginx之跨域配置(CORS)
热门推荐
苏老师的博客
10-19 2万+
Nginx-跨域配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是跨域资源共享(Cross-origin resource sharing). 他允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX跨域调用. 简单来说就是跨域的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意跨域. Nginx通过CROS 实现跨域 #设置Origin
WEB】深入理解 CORS(跨域资源共享):原理、配置常见问题
人生苦短,睡觉要紧,睡醒再说
11-13 3186
浏览器的同源策略(Same-Origin Policy)是一种重要的安全机制,用于阻止不同源(域)之间的恶意操作。根据同源策略,网页中的脚本只能访问其所在网页相同源的资源。协议(Scheme):如http://或https://;主机(Host):如或;端口(Port):如80或8080。如果请求的协议、主机名或端口号不一致,浏览器将视为跨域请求,默认会阻止这样的访问。和属于不同来源(协议不同);和属于不同来源(主机名不同);和属于不同来源(端口不同)。如果不使用cors// 允许的源。
Cors跨域配置
qq_3316359388的博客
04-14 246
package com.imooc.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguration
CORS预检请求配置流程图 srpingboot和uniapp
qq_35915504的博客
10-18 1101
让我们通过流程图和实际例子来解释简单请求和预检请求(非简单请求)的区别。创建 UrlBasedCorsConfigurationSource。方法限制: GET, HEAD, POST。发送实际请求 (POST /getSts)创建 CorsFilter(source)PUT, DELETE, PATCH等。首先要会判断预检请求 还是简单请求。发送请求(GET, POST等)发送 OPTIONS 预检请求。发送 OPTIONS 预检请求。返回预检响应(带CORS头)返回预检响应(带CORS头)
Spring Cloud Gateway系例—参数配置CORS 配置、SSL、元数据)
深圳市多克创新科技有限公司
08-10 1844
Spring Cloud Gateway系例—参数配置CORS 配置、SSL、元数据)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丶2136

谢谢老板。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值