大家好,我是FogLetter,今天我们要深入探讨现代Web开发中最主流的跨域解决方案——CORS(跨域资源共享)。相比上回我们聊的JSONP,CORS才是当今前后端分离架构下的"正规军"解决方案。
一、为什么我们需要CORS?
还记得我们上次讨论的JSONP吗?它虽然巧妙,但存在诸多限制:
- 仅支持GET请求
- 安全性较差
- 错误处理困难
- 需要前后端特殊配合
随着时代的发展,我们需要更强大的跨域解决方案。这就是CORS诞生的背景!
二、CORS工作原理揭秘
2.1 简单请求 vs 复杂请求
CORS将请求分为两类:
简单请求必须满足以下所有条件:
- 方法为GET、HEAD或POST
- 仅包含以下头信息:
- Accept
- Accept-Language
- Content-Language
- Content-Type(仅限于application/x-www-form-urlencoded、multipart/form-data、text/plain)
复杂请求包括:
- PUT、DELETE、PATCH等方法
- 发送JSON数据(Content-Type: application/json)
- 携带自定义头信息
2.2 CORS的工作流程
对于简单请求:
- 浏览器直接发送跨域请求
- 服务器响应中包含
Access-Control-Allow-Origin头 - 浏览器检查该头信息,决定是否允许获取响应
对于复杂请求:
- 浏览器先发送预检请求(OPTIONS方法)
- 服务器响应预检请求,声明允许的方法、头信息等
- 浏览器确认后发送真实请求
- 服务器处理真实请求并返回数据
三、手把手实现CORS服务器
让我们通过代码来深入理解CORS的实现:
const http = require('http');
const server = http.createServer((req, res) => {
// 设置允许的源(可替换为具体域名或白名单)
res.setHeader('Access-Control-Allow-Origin', 'http://127.0.0.1:5500')
// 设置允许的方法
res.setHeader('Access-Control-Allow-Methods', 'PUT, PATCH, GET, POST, DELETE, OPTIONS')
// 处理预检请求
if (req.method === 'OPTIONS') {
res.writeHead(200)
res.end()
return
}
// 处理真实请求
if(req.url === '/api/test' && req.method === 'PATCH') {
res.writeHead(200, {
'Content-Type': 'application/json',
})
res.end(JSON.stringify({
msg: '跨域请求成功!'
}))
}
})
server.listen(8000, () => {
console.log('CORS服务器已启动:http://localhost:8000')
})
四、CORS核心响应头详解
4.1 基础头信息
Access-Control-Allow-Origin: 指定允许访问的源*表示允许任何源(不推荐生产环境使用)https://example.com指定具体域名
4.2 预检请求相关头
Access-Control-Allow-Methods: 允许的HTTP方法Access-Control-Allow-Headers: 允许的请求头Access-Control-Max-Age: 预检请求缓存时间(秒)
4.3 凭证相关头
Access-Control-Allow-Credentials: 是否允许发送CookieAccess-Control-Expose-Headers: 允许前端访问的响应头
五、实战:完整CORS配置示例
// 高级CORS配置中间件
function corsMiddleware(req, res, next) {
// 允许的源(生产环境应使用白名单)
const allowedOrigins = [
'https://example.com',
'http://localhost:5500',
'http://127.0.0.1:5500'
];
const origin = req.headers.origin;
if (allowedOrigins.includes(origin)) {
res.setHeader('Access-Control-Allow-Origin', origin);
}
res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, PATCH, DELETE, OPTIONS');
res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization, X-Custom-Header');
res.setHeader('Access-Control-Allow-Credentials', 'true');
res.setHeader('Access-Control-Max-Age', '86400'); // 24小时
// 立即响应预检请求
if (req.method === 'OPTIONS') {
return res.status(204).end();
}
next();
}
六、CORS的安全考量
6.1 生产环境注意事项
- 不要使用
*通配符:应明确指定允许的域名 - 限制允许的方法:只开放必要的HTTP方法
- 谨慎处理凭证:
Access-Control-Allow-Credentials与*不能同时使用 - 设置合理的Max-Age:平衡安全性与性能
6.2 常见安全威胁
- CSRF攻击:即使有CORS,仍需防范CSRF
- 敏感数据泄露:确保不暴露敏感头信息
- 过度权限:避免过度宽松的CORS策略
七、CORS与JSONP的对比
| 特性 | CORS | JSONP |
|---|---|---|
| 请求方法 | 支持所有HTTP方法 | 仅GET |
| 数据格式 | 支持任意Content-Type | 仅JavaScript |
| 安全性 | 高(可精细控制) | 低(全局函数) |
| 错误处理 | 完善的错误捕获机制 | 难以捕获网络错误 |
| 浏览器支持 | IE10+ | 所有浏览器 |
| 服务器改造 | 需要设置响应头 | 需要特殊格式响应 |
八、实际开发中的最佳实践
-
开发环境:
- 可临时使用
*方便调试
- 可临时使用
-
生产环境:
- 严格的白名单制度
-
移动端适配:
- 注意区分WebView和浏览器环境
- 某些APP内嵌浏览器可能有特殊限制
九、常见问题解答
Q:为什么我的CORS配置不生效?
A:常见原因:
- 没有正确处理OPTIONS预检请求
- 响应头拼写错误(注意大小写)
- 浏览器缓存了旧的CORS策略(尝试无痕模式)
Q:如何调试CORS问题?
A:Chrome开发者工具中:
- 查看Network标签中的请求
- 特别注意OPTIONS请求的响应
- 检查Console中的错误信息
Q:CORS会影响性能吗?
A:预检请求会带来额外开销,但:
- 预检结果会被浏览器缓存
- 简单请求没有额外开销
- 实际影响通常可以忽略
十、总结
CORS作为现代Web开发的跨域标准解决方案,相比JSONP具有明显优势:
- 功能全面:支持所有HTTP方法和数据类型
- 安全性高:细粒度的访问控制
- 标准化:W3C标准,所有现代浏览器支持
正如Web安全专家Troy Hunt所说:"CORS不是限制,而是保护。" 正确理解和应用CORS机制,能让我们的Web应用既保持开放又确保安全。
下次当你遇到跨域问题时,不妨回来查阅这篇笔记。如果觉得有帮助,别忘了点赞收藏!
