CORS(跨域资源共享)是解决浏览器跨域请求限制的核心机制,通过配置允许特定来源的请求访问资源。以下是关键配置项说明:

1. 基础配置项

  • 允许源Access-Control-Allow-Origin
    示例:Origin: https://example.com

    CORS_配置

  • 允许方法Access-Control-Allow-Methods
    常见值:GET, POST, PUT, DELETE
    ✅ 限制请求方法可提升安全性

  • 允许头部Access-Control-Allow-Headers
    示例:Content-Type, Authorization
    ⚠️ 通配符 * 可能导致安全风险

2. 高级配置建议

  • 预检请求Access-Control-Request-MethodAccess-Control-Request-Headers
    ⏱️ 浏览器会先发送OPTIONS请求验证权限

  • 凭证控制Access-Control-Allow-Credentials
    ✔️ 设置为 true 时需明确指定源域名

  • 缓存策略Access-Control-Max-Age
    示例:Max-Age: 86400(缓存预检结果24小时)

3. 安全最佳实践

  • ❌ 避免使用 * 作为源域名
  • 🔐 限制HTTP方法与头部字段
  • 📜 对敏感接口要求严格校验 Origin
  • ⚙️ 生产环境建议通过反向代理统一处理CORS

🔗 深入了解可访问:高级CORS配置教程

CORS_安全实践