CORS,即跨源资源共享,是一种由 Web 浏览器实现的安全功能,允许或限制 Web 应用程序向与提供网页的域不同的域发出请求。简单来说,CORS 决定了一个域中的资源是否可以被另一个域中的网页访问。
默认情况下,Web 浏览器强制执行同源策略,该策略会阻止网页向与提供该页面的域不同的域发出请求。这样做是为了防止恶意网站访问其他网站上的敏感数据。然而,有时 Web 应用程序需要从不同的来源(域、协议或端口)请求资源,这就是 CORS 发挥作用的地方。
CORS 的实际应用
当一个域上的 Web 应用程序需要从另一个域请求数据时,它会发送一个 HTTP 请求,其中包含指示请求来源的特定标头。然后,托管所请求资源的服务器必须通过在响应中发送适当的 CORS 标头来决定是否允许该请求。
例如,如果您正在构建托管在 http://example.com 上的前端应用程序,并且它需要从 http://api.example2.com 获取数据,则 CORS 标头允许位于 api.example2 的服务器。 com 指定是否允许来自 example.com 的请求。
常见用例
以下场景通常需要 CORS:
第三方 API 访问:许多现代 Web 应用程序依赖外部 API 来提供身份验证、支付处理或社交媒体集成等服务。当这些 API 托管在不同的域上时,CORS 是必要的。
前后端通信:如果 Web 应用程序的前端和后端托管在不同的域或子域上,则使用 CORS 来允许它们之间的通信。
CDN(内容交付网络):网站通常使用 CDN 来提供静态资产,例如图像、样式表或 JavaScript 文件。 CORS 允许主站点从托管在不同源的 CDN 请求这些资源。
CORS 中的关键参数和指标
Access-Control-Allow-Origin:该标头是 CORS 中最重要的标头,指示允许哪些源访问该资源。可以设置为:
特定来源(Access-Control-Allow-Origin:https://example.com)
通配符(Access-Control-Allow-Origin:*),允许任何源访问资源。但是,对于包含凭据的请求不允许这样做。
Access-Control-Allow-Methods:指定访问资源时允许使用哪些 HTTP 方法(例如 GET、POST、PUT、DELETE)。例如:
访问控制允许方法:GET、POST、PUT
Access-Control-Allow-Headers:列出发出实际请求时可以使用的 HTTP 标头。例如,如果请求包含像 X-Custom-Header 这样的自定义标头,则应在此处指定:
访问控制允许标头:X-自定义标头,内容类型
Access-Control-Allow-Credentials:指示请求是否可以包含 cookie、HTTP 身份验证或客户端证书等凭据。这对于需要身份验证的 API 很重要。例如:Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers:指定浏览器应向请求客户端公开哪些标头。默认情况下,浏览器仅公开一组有限的标头,例如 Cache-Control 和 Content-Type,但 Access-Control-Expose-Headers 可以提供其他标头。
Access-Control-Max-Age:定义浏览器可以缓存预检请求结果(见下文)的时间。它通过减少预检请求的数量来帮助提高性能。例如:
Access-Control-Max-Age:86400(24小时)
预检请求:对于某些类型的请求,尤其是那些修改服务器数据(例如 PUT 或 DELETE)的请求,浏览器使用 HTTP OPTIONS 方法发送预检请求。这会向服务器检查实际请求是否可以安全发送。服务器对预检请求的响应决定浏览器是否继续处理实际请求。
什么时候需要 CORS?
以下情况下需要 CORS:
发出跨域请求:如果您的前端和后端由不同的域或端口提供服务,或者您从应用程序访问外部 API。
访问 CDN 或第三方服务上托管的资源:例如,如果您从 CDN 加载字体、图像或其他资源,服务器必须包含 CORS 标头以允许您的网站访问它们。
安全问题:虽然启用 CORS 允许跨域请求,但应仔细配置它以避免您的应用程序遭受恶意攻击。只应允许受信任的来源,并且应使用身份验证令牌等附加安全措施来保护敏感操作。
结论
CORS 是确保不同来源的资源安全、受控共享的重要机制。经过正确配置,它有助于现代 Web 应用程序与第三方服务和 API 交互,同时保护用户免受安全风险。对于任何使用 API、CDN 或多域应用程序的 Web 开发人员来说,了解如何配置 CORS 标头并了解何时以及为何需要它们至关重要。
