什么是CORS?如何正确配置?

于 2025-07-14 08:49:50 发布
阅读量1.1k 收藏 23
点赞数 21
CC 4.0 BY-SA版权
分类专栏: 学习教程 文章标签: 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61505785/article/details/149322421

以下是关于CORS(跨域资源共享)的完整解析及配置指南,结合资料中的关键信息进行系统化阐述:

一、CORS的定义与作用

1. 基本概念
  • CORS(Cross-Origin Resource Sharing) 是W3C标准的安全机制,允许浏览器绕过同源策略(Same-Origin Policy, SOP),安全地访问不同源的资源(如API、图片、字体等)。
  • 同源策略(SOP) 是浏览器的核心安全机制,默认阻止跨域请求(协议、域名、端口任一不同即视为跨域)。
2. 解决的问题
  • 现代Web应用常需跨域访问资源(如前端调用第三方API、CDN共享资源),但SOP会阻止此类请求。CORS通过HTTP头部协商机制,在保持安全的前提下解除限制。
  • 典型应用场景
    • HTML5文件拖拽上传至不同源存储服务(如OBS)。
    • 跨域加载外部网页、样式表或Web字体。
    • 多站点共享同一资源(如图片库)。

二、CORS的工作原理

1. 关键参与者
  • 浏览器:自动处理CORS流程(发送预检请求、验证响应头)。
  • 服务器:通过响应头声明允许的跨域规则。
2. 请求分类与流程
请求类型触发条件流程步骤
简单请求方法为GET/POST/HEAD,头部为Accept、Content-Type等简单字段1. 浏览器直接发送请求
2. 检查响应头Access-Control-Allow-Origin是否匹配
预检请求方法为PUT/DELETE或含自定义头部(如Authorization)1. 浏览器先发OPTIONS请求(预检)
2. 服务器返回允许的规则
3. 通过后发送实际请求
3. 核心HTTP头部
  • 请求头
    • Origin:声明请求来源(如[https://example.com](https://example.com))。
    • Access-Control-Request-Method:声明实际请求方法(预检请求携带)。
    • Access-Control-Request-Headers:声明自定义头部(预检请求携带)。
  • 响应头
    • Access-Control-Allow-Origin:允许的源(如[https://example.com](https://example.com)*)。
    • Access-Control-Allow-Methods:允许的HTTP方法(如GET,POST)。
    • Access-Control-Allow-Headers:允许的自定义头部。
    • Access-Control-Allow-Credentials:是否允许携带凭据(如Cookies)。
    • Access-Control-Max-Age:预检结果缓存时间(秒)。

示例预检请求/响应

OPTIONS /api/data HTTP/1.1
Origin: [https://yuanjava.com](https://yuanjava.com)
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Content-Type

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: [https://yuanjava.com](https://yuanjava.com)
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 3600

三、CORS的正确配置方法

1. 服务器端配置(关键步骤)

需在资源服务器配置响应头,以下是主流方案:

  • 通用配置原则

    • 明确允许的源(避免滥用*)。
    • 按需开放方法(GET/POST等)和头部。
    • 若需凭据(Cookies),设置Access-Control-Allow-Credentials: true禁止使用*作为源

  • 配置示例

    • Apache服务器(修改.htaccess):
Header set Access-Control-Allow-Origin "https://your-domain.com"
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Headers "Content-Type, Authorization"
Header set Access-Control-Allow-Credentials "true"

     Nginx服务器(修改配置文件):

    add_header Access-Control-Allow-Origin "https://your-domain.com";
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'Content-Type, Authorization';
add_header Access-Control-Allow-Credentials 'true';

    后端框架示例

    • Spring Boot(Java):
    @Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("https://your-domain.com")
            .allowedMethods("GET", "POST", "PUT", "DELETE")
            .allowCredentials(true)
            .maxAge(3600);
    }
}

    Express(Node.js):

    const cors = require('cors');
app.use(cors({
    origin: 'https://your-domain.com',
    methods: ['GET', 'POST'],
    credentials: true
}));

    GoFrame(Golang):

    // boot.yaml
gf:
  interceptors:
    cors:
      enabled: true
      allowOrigins: "https://your-domain.com"
      allowMethods: "GET,POST"
    2. 客户端注意事项

    若请求需携带凭据(如Cookies),前端需显式设置:

    fetch('https://api.com/data', {
  credentials: 'include' // 或 xhr.withCredentials = true;
});

    • 否则浏览器会拒绝跨域凭据请求。

    四、常见错误与解决方案

    错误现象原因分析解决方案
    No 'Access-Control-Allow-Origin' header is present服务器未返回Access-Control-Allow-Origin响应头检查服务器配置,确保该头部存在且值匹配请求源
    Access-Control-Allow-Origin cannot be '*' when using credentials凭据模式下不允许源为通配符*指定具体源(如[https://example.com](https://example.com))并设置Access-Control-Allow-Credentials: true
    CORS preflight channel did not succeed预检请求(OPTIONS)未正确处理(如返回非200状态码)确保服务器正确响应OPTIONS请求,返回200及CORS头部
    Method [PUT] not allowed in Access-Control-Allow-Methods实际请求方法不在服务器允许的方法列表中Access-Control-Allow-Methods中添加缺失方法(如PUT)

    调试建议
    使用浏览器开发者工具查看Network选项卡,分析预检请求(OPTIONS)和实际请求的请求头/响应头,定位缺失或错误的CORS头部。

    五、进阶实践与安全建议

    1. 动态源管理
      • 若允许多个源,可编程检查Origin请求头,动态设置Access-Control-Allow-Origin(需避免漏洞)。
    2. 预检缓存优化
      • 设置Access-Control-Max-Age减少OPTIONS请求频率(如3600秒)。
    3. 安全风险规避
      • 避免Access-Control-Allow-Origin: *:尤其在涉及敏感数据或凭据时。
      • 限制HTTP方法:仅开放必要方法(如禁止DELETE)。
      • 验证来源域名:防止未授权站点利用CORS。

    六、总结

    CORS是平衡安全性与灵活性的关键技术,其核心在于服务器通过HTTP头部声明跨域规则,由浏览器强制执行。正确配置需关注:

    1. 区分简单请求与预检请求的处理逻辑。
    2. 精准设置Access-Control-Allow-*系列头部。
    3. 避免凭据模式下的通配符滥用。
    4. 结合具体服务器环境(Apache/Nginx/框架)实现配置。

    通过理解机制、规范配置和善用调试工具,可高效解决跨域问题。

    windows服务器IIS 配置网站跨域的方法 `IIS配置` `跨域CORS` `前端后端联调` `运维教程`
    代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
    07-02 177
    很多人觉得 CORS 是“后端的事”,但当你遇到这种老系统部署在 IIS 上、又没人管的情况,自己学会配置是最快的救命办法。这一套配置,我已经验证过多个项目,稳定生效,如果你也在做前后端分离项目,!
    【个人博客搭建】(19)Cors跨域配置
    【PlateauSnow】的博客
    05-28 687
    net 8 Cors跨域配置
    什么是 CORS ?手把手带你搞懂 CORS 跨域原理!(非常详细)零基础入门到精通,收藏这一篇就够了
    最新发布
    Libra1313的博客
    06-17 1093
    CORS,全称为“跨域资源共享”(Cross-Origin Resource Sharing),是一种机制,它使用额外的 HTTP 头来告诉浏览器允许一个网页从另一个域(不同于该网页所在的域)请求资源。这样可以在服务器和客户端之间进行安全的跨域通信。
    SpringBoot配置cors
    java scala
    09-16 1960
    先简单介绍一下CORS的背景 同源策略 跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 跨域资源共享 CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRe
    CORS 跨域问题, 以及作为api server 的正确配置, 后台 nginx 配置
    weixin_33724059的博客
    04-24 126
    服务器的同源策略: 为了安全性浏览器有一个同源策略, 一个域名下的应用使用许多数据或者请求的获取, 被限制在同一域名, 协议, 端口, 不然浏览器不会允许请求这些资源, 直接请求就发不出去。 同源的3种行为: (1) Cookie、LocalStorage 和 IndexDB 无法读取。 (2) DOM 无法获得。 (3) AJAX 请求不能发送。 但是随着互联网的发展,...
    cors跨域配置
    xqhys的博客
    03-18 5472
    转载:https://blog.csdn.net/q826qq1878/article/details/81230936 目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分...
    Spring 里多种 CORS 配置方式
    许久
    02-14 2420
    参考:https://cloud.tencent.com/developer/article/1703212 https://cloud.tencent.com/developer/article/1513473 一、CORS 介绍 CORS全称是Cross-Origin Resource Sharing,直译过来就是跨域资源共享。 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情.
    如何在PHP中实现跨域资源共享(CORS)?底层原理是什么?
    长风破浪会有时的博客
    09-15 553
    跨域资源共享(CORS)是一种机制,它允许一个源(如一个域)访问另一个源(如另一个域)的资源。在Web开发中,浏览器实施了同源策略(Same-Origin Policy),限制了从一个源加载的文档或脚本与另一个源获取的资源之间的交互。CORS通过HTTP响应头来允许跨域请求。在PHP中实现CORS主要涉及设置响应头,允许来自不同源的请求访问服务器资源。具体实现方法包括静态设置响应头、动态设置响应头以及处理预检请求。通过正确设置这些响应头,可以实现安全的跨域资源共享。
    什么是CORS(跨源资源共享)?如何解决前端中的CORS问题?
    一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
    07-26 1225
    引言基本概念和作用同源策略简介CORS 的作用解决CORS问题的方法方法一:使用Access-Control-Allow-Origin头示例一:允许所有来源访问资源示例二:指定来源方法二:预检请求示例三:处理预检请求方法三:使用代理示例四:使用Webpack Dev Server配置代理方法四:JSONP示例五:实现JSONP使用技巧结语同源策略是浏览器的一个安全特性,它限制了一个页面上的脚本只能与同一个源的页面进行交互。这里的“源”指的是协议、域名和端口三者的组合。例如,和不被认为是同源的。
    如何配置Nginx反向代理解决CORS问题?
    03-28
    嗯,用户想了解如何通过配置Nginx反向代理来解决跨域资源共享(CORS)问题。首先,我需要回顾一下CORS的基本概念和常见问题。CORS是浏览器的一种安全机制,当不同源的资源请求时会被阻止。常见的解决方案包括后端...
    如何正确配置海星达H32 GNSS RTK接收机进行CORS网络服务连接?
    11-03
    在操作海星达H32 GNSS RTK接收机连接到CORS网络服务时,首先确保设备已经安装了CORS卡,并且工作模式设置为“移动站”。接着,需要将数据链设置为“GSM”,这是因为GSM数据链能够提供稳定的网络连接,从而接收来自...
    如何设置 CORS允许跨域
    Sherry Tian的博客
    10-11 3746
    本文讲解如何在服务器端设置CORS以允许跨域访问的一些常见方法
    CORS(跨域资源共享) 的配置
    autumn20080101的专栏
    05-19 422
    CORS(跨域资源共享) 的配置 2014-05-26 10:23 12415人阅读 评论(3) 收藏 举报 本文章已收录于: 分类: html/js(6) 作者同类文章X http://blog.csdn.net/ohyoyo2014/article/details/24863197
    Cors跨域配置
    qq_3316359388的博客
    04-14 256
    package com.imooc.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguration
    Spring Boot3 系列:Spring Boot3 跨域配置 Cors
    程序人生
    01-15 4110
    CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
    WEB】深入理解 CORS(跨域资源共享):原理、配置与常见问题
    人生苦短,睡觉要紧,睡醒再说
    11-13 3636
    浏览器的同源策略(Same-Origin Policy)是一种重要的安全机制,用于阻止不同源(域)之间的恶意操作。根据同源策略,网页中的脚本只能访问与其所在网页相同源的资源。协议(Scheme):如http://或https://;主机(Host):如或;端口(Port):如80或8080。如果请求的协议、主机名或端口号不一致,浏览器将视为跨域请求,默认会阻止这样的访问。和属于不同来源(协议不同);和属于不同来源(主机名不同);和属于不同来源(端口不同)。如果不使用cors// 允许的源。
    CORS是什么意思
    weixin_42610671的博客
    01-06 651
    CORS是"跨域资源共享"的缩写。它是一种机制,用于控制网页脚本(如JavaScript)从一个源加载内容,同时防止访问来自不同源的敏感信息。在Web浏览器中,它通常用于防止第三方网站使用XMLHttpRequest或Fetch API访问来自另一个域的资源。 ...
    2. nginx CORS配置
    kaifei的博客
    06-01 6705
    nginx CORS 配置
    腾讯云cors配置
    wangjun5159的专栏
    05-21 4056
    先解释一下,cors(cross origin[ˈɔ:rɪdʒɪn] resource share),跨域资源共享,是跨域访问的一种方式。问题的由来mozilla pdf.js是一款优秀的pdf在线预览插件,它通过ajax请求获取文档,然后呈现。因为文档存储在腾讯云上,所以这就产生了跨域访问。 注意这里有两个要素, - 这是一个ajax请求,如果是一个普通请求,虽然是跨域,但是浏览器不会限制。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    破碎的天堂鸟

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值