Node.js 跨域(CORS)配置指南

最新推荐文章于 2025-04-29 09:40:29 发布
最新推荐文章于 2025-04-29 09:40:29 发布
阅读量788 收藏 9
点赞数 10
分类专栏: NodeJS 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44297859/article/details/147579813
版权

一、CORS 核心概念与背景

跨域资源共享(CORS)是浏览器安全策略的一部分,用于限制非同源请求。Node.js 作为后端服务,需通过配置 HTTP 响应头或中间件来解除这一限制。CORS 的核心响应头包括:

  • Access-Control-Allow-Origin:允许的请求源(如 https://example.com 或通配符 *
  • Access-Control-Allow-Methods:允许的 HTTP 方法(如 GET, POST
  • Access-Control-Allow-Headers:允许的自定义请求头(如 Authorization, Content-Type
  • Access-Control-Allow-Credentials:是否允许携带 Cookie 或认证信息。

二、Node.js 实现 CORS 的两种方式

1. 手动配置响应头(原生 HTTP/Express)

适用于简单场景或自定义需求,但需处理预检请求(OPTIONS)逻辑:

// Express 示例
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*'); // 允许所有源
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  
  if (req.method === 'OPTIONS') { // 处理预检请求
    res.sendStatus(204);
  } else {
    next();
  }
});

注意:通配符 *credentials: true 不可同时使用。

2. 使用 cors 中间件(推荐)

通过第三方库简化配置,支持动态策略和预检请求自动化处理。

步骤指南:

  1. 安装依赖

    npm install cors

  2. 基础配置

    const express = require('express');
const cors = require('cors');
const app = express();

// 全局启用 CORS(允许所有源)
app.use(cors());

  3. 精细化控制

    const corsOptions = {
  origin: ['https://example.com', 'https://dev.example.com'], // 白名单
  methods: 'GET,POST,PUT,DELETE',
  allowedHeaders: ['Content-Type', 'Authorization'],
  credentials: true, // 允许携带 Cookie
  maxAge: 86400,     // 预检请求缓存时间(秒)
};
app.use(cors(corsOptions));

  4. 动态源验证

    const whitelist = ['https://trusted-domain.com'];
app.use(cors({
  origin: (origin, callback) => {
    if (whitelist.includes(origin)) {
      callback(null, true);
    } else {
      callback(new Error('Blocked by CORS policy'));
    }
  }
}));

三、高级场景与常见问题

1. 预检请求(Preflight Request)

  • 触发条件:非简单请求(如 PUT、自定义请求头、application/json 数据格式)。
  • 自动处理cors 中间件默认支持,手动配置需显式响应 OPTIONS 方法。

2. 携带凭证(Cookies/HTTP Auth)

  • 配置要求
    app.use(cors({ 
  origin: 'https://example.com', // 必须指定具体域名,不可用通配符
  credentials: true 
}));
  • 客户端设置fetch 需添加 credentials: 'include' 选项。

3. 安全性最佳实践

  • 避免滥用通配符:生产环境应明确允许的域名。
  • 限制 HTTP 方法:仅开放必要方法(如禁用 DELETE 对公开 API)。
  • 日志与监控:记录异常 CORS 请求,防范恶意探测。

四、调试与错误排查

  1. 浏览器开发者工具

    • 检查 Network 标签中的 OPTIONS 请求响应头。
    • 验证 Access-Control-Allow-* 头部是否匹配请求。

  2. 常见错误

    • CORS header missing:未正确配置响应头。
    • Credentials not allowed with wildcard origin:通配符与 credentials: true 冲突。

五、总结

通过 cors 中间件可快速实现安全、灵活的跨域配置,而手动设置适用于定制化需求。核心原则包括:

  • 最小权限原则:仅开放必要资源与方法。
  • 动态策略:根据业务需求动态验证请求源。
  • 兼容性:注意旧版浏览器(如 IE10+)对 CORS 的支持限制。
Node.js设置允许的方法有哪些
weixin_52255418的博客
12-27 1166
Nodejs如何设置允许?下面本篇文章就来给大家介绍一下设置方法。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。 设置允许所有:   app.all("*",function(req,res,next){ //设置允许名,*代表允许任意 res.header(“Access-Control-Allow-Origin”,"*"); //允许的header类型 res.header(“Access-Control-Allow-Headers”,“content-ty
面试篇:(十二)Node.js 与后端基础 - 2024 年全栈面试指南
mmc123125的博客
10-31 764
Node.js 是一个基于 Chrome V8 引擎构建的 JavaScript 运行时,它让你可以用 JavaScript 编写服务器端的应用程序。
NodeJS实现的方法( 4种 )
大剑师兰特的GIS世界
05-07 3406
Node.js实现的方法主要有以下4种:使用 CORS (Cross-Origin Resource Sharing) 中间件;手动设置响应头 (Access-Control-Allow-Origin);使用 JSONP (仅限 GET 请求);代理服务器。
nodejs express 允许设置
黄彪博客
07-19 6745
为了模拟向后台发送请求,需要搭建一个web工程的demo,使用nodejs 的express 模拟web工程 var express = require("express"); var http = require("http"); var app = express(); ////////////////////// 获取post过来的数据 /////////////////////...
node.js设置允许访问
qq_45279180的博客
03-17 3800
设置ajax的请求 解决的方式有很多,本次解决的方案是资源共享(CORS)这里我们以node.js为例设置允许请求。 因为我使用node.js主要使用的是express框架,所以这里也以express框架为例。 // 配置请求中间件(服务端允许请求) app.use((req, res, next)=> { res.header("Access-Control-Allow-Origin", req.headers.origin); // 设置允许来自哪里的
Node.js入门指南
会思想的苇草i的博客
01-26 3560
Node.js是建立在Chrome V8引擎之上的JavaScript运行时环境,可用于快速构建可伸缩的网络应用。它采用事件驱动、非阻塞I/O模型,适用于实时数据处理。Node.js还拥有丰富的包管理工具,如npm,使得前端开发者能够方便地共享和重复使用代码。掌握Node.js能够丰富前端开发技能,提升项目的性能和效率。
Node.js对接微信公众号并配置服务器验证
china-quanda
09-18 1577
开发者可通过OpenID来获取用户基本信息,而如果开发者拥有多个应用(移动应用、网站应用和公众账号,公众账号只有在被绑定到微信开放平台账号下后,才会获取UnionID),可通过获取用户基本信息中的UnionID来区分用户的唯一性,因为只要是同一个微信开放平台账号下的移动应用、网站应用和公众账号,用户的UnionID是唯一的。:URL字段填写一个接口,不能是IP地址,而且名必须指向80端口,需要后端配合,能够响应微信发送的验证,如果接口异常无法配置成功。参数内容,则接入生效,成为开发者成功,否则接入失败。
node get post
weixin_50527802的博客
04-12 164
node 处理 get post 请求
实现基于REST的API认证与CORS配置指南
总结来说,us_test_api项目是一个典型的RESTful风格的Web服务,它利用不记名令牌进行用户认证,通过CORS配置支持请求,使用MongoDB作为其数据存储解决方案,还包含了令牌管理机制以及Node.js和JavaScript技术栈...
Node.js cors中间件的安装与应用指南
Node.js CORS中间件是专门为Node.js环境设计的,用来简化CORS请求的配置和管理过程。 ### CORS核心概念 CORS通过HTTP头控制请求,主要涉及以下几个关键点: 1. **Origin头部**:表明请求是从哪个源发起的。 2...
创建最小的Node.js CORS支持HTTP Web服务器指南
Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它允许开发者使用JavaScript来编写服务器端的脚本。Node.js的一个关键特点就是其事件驱动、非阻塞I/O的模型,这使得它非常适合处理大量的并发连接,特别是在...
Node.js实现的CORS代理服务器搭建与使用指南
本文介绍了如何使用一个简单的Node.js服务器来创建一个CORS代理,通过这个代理,可以绕过CORS限制,从而访问那些原本无法直接访问的API。 首先,让我们解释什么是CORS以及为何它如此重要。CORS是一种基于HTTP头的...
nodejs 设置允许
Hanzwii的博客
01-30 1926
app.all('/decompression', function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); // res.header('Access-Control-Allow-Methods', 'PUT, GET, POST, DELETE, OPTIONS'); // res.head
nodejs设置允许
泥猴桃的博客
06-13 2090
此方法可以设置允许多个 const http = require('http'); // 允许访问的名对象 let allowOrigin={ 'http://192.168.0.102:8000': true, 'http://aaa.com': true, 'https://aaa.com': true, } http.createServer((re...
Node.js 应用场景
2501_91537388的博客
04-25 538
Node.js 由于其非阻塞 I/O 模型和事件驱动架构,在实时 Web 应用、微服务架构、命令行工具开发、API 网关与代理服务、测试工具与自动化测试、数据处理与流式应用,以及游戏服务器等方面都有广泛的应用场景。希望本文能帮助你更好地理解和利用 Node.js 的强大功能。如果你有任何具体项目的需求或问题,请随时提问!
node.js 实战——从0开始做一个餐厅预订(express+node+ejs+bootstrap)
weixin_46282323的博客
04-25 1011
模板引擎语法风格学习曲线渲染性能特点/适用场景EJS类似 HTML + JS🟢 简单🟢 快最通用、轻量、入门推荐Pug(原 Jade)缩进式语法🟡 有点怪🟢 快简洁、有层次感,但需适应HandlebarsMustache 风格🟢 简单🟡 中等强逻辑隔离,适合大团队模板开发Nunjucks类似 Django🟢 简单🟢 快功能全、适合内容型网站(支持宏)混合方案🟡 复杂🟡 看项目前后端混合渲染项目(不推荐长期用)###🚦怎么选?
基于Node.js的健身会员管理系统的后端开发实践
BXCQ_xuan的技术专栏 | 实战干货·实践教程·学习笔记
04-20 1037
这是一个基于 Node.js + Express + MySQL 开发的健身会员管理系统后端。主要功能包括会员管理、课程管理、管理员系统等。作为一个大三学生的练手项目,它涵盖了后端开发中的许多基础知识点,非常适合想要学习后端开发的同学参考。CORS,Cross-Origin Resource Sharing)是指浏览器出于安全考虑,限制网页从一个源(名、协议、端口)向另一个源发送请求。你的前端运行在后端运行在,这就产生了问题。
通过 Node.js 搭配 Nodemailer 实现邮箱验证码发送
最新发布
m0_53518956的博客
04-29 563
if (!email) {// 生成6位随机验证码// 保存到 Redis,设置过期时间5分钟// 发送邮件from: '你的QQ邮箱@qq.com',to: email,subject: '您的验证码',text: `您的验证码是 ${code},有效期5分钟,请勿泄露。try {res.send({ message: '验证码发送成功' });console.error('发送失败', err);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

非鱼牛马社

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值