cors

跨域资源共享（CORS）技术解析

一、CORS的定义与核心价值

跨域资源共享（CrossOrigin Resource Sharing，CORS）是一种基于HTTP头的安全机制，用于实现不同源（域名、协议或端口）之间的资源访问控制。在浏览器的同源策略限制下，前端脚本（如JavaScript）默认仅能请求当前页面所在域的资源。CORS通过服务器端配置HTTP响应头，允许浏览器突破这一限制，安全地加载跨域资源。例如，当`http://example.com`的页面需要请求`https://api.example.org/data`时，CORS机制可使该请求合法执行，从而支持CDN资源加载、第三方API调用等常见场景。

二、CORS的工作原理

CORS的实现依赖浏览器与服务器的协同交互，核心流程包括两种请求类型：

1. 简单请求：当请求方法为GET、HEAD、POST，且HTTP头仅包含Accept、ContentType等安全字段时，浏览器直接发送请求，并检查响应头中的`AccessControlAllowOrigin`是否包含当前源。若匹配，则资源可被访问。

2. 预检请求（Preflight）：对于可能修改服务器数据的复杂请求（如PUT、DELETE方法，或包含自定义头），浏览器会先发送OPTIONS预检请求，验证服务器是否允许实际请求。预检请求需携带`Origin`（请求源）、`AccessControlRequestMethod`（实际请求方法）等头信息，服务器通过`AccessControlAllowMethods`、`AccessControlAllowHeaders`等响应头确认授权后，才会执行真实请求。

三、关键HTTP头详解

CORS通信通过以下核心HTTP头实现权限控制：

请求头：

`Origin`：标识请求来源（如`https://example.com`），由浏览器自动添加，不可修改。

`AccessControlRequestMethod`/`AccessControlRequestHeaders`：预检请求中声明实际请求的方法和头字段。

响应头：

`AccessControlAllowOrigin`：指定允许访问的源，支持通配符``（不建议生产环境使用）或具体域名。

`AccessControlAllowCredentials`：设为`true`时允许请求携带Cookie等凭证信息。

`AccessControlMaxAge`：指定预检请求结果的缓存时间（如`86400`秒），减少重复预检开销。

四、应用场景与安全实践

CORS广泛应用于现代Web开发，典型场景包括：

跨域API调用：前端通过Fetch或XMLHttpRequest请求第三方服务（如地图API、支付接口）。

CDN资源加载：网站从CDN（如`https://cdn.example.com`）加载静态资源（图片、CSS、JS）。

单点登录（SSO）：跨域传递用户认证状态，实现多系统统一登录。

安全配置建议：

1. 避免使用``通配符，严格指定允许的源域名；

2. 限制`AccessControlAllowMethods`仅包含必要的HTTP方法；

3. 对预检请求设置合理的缓存时间，优化性能；

4. 结合HTTPS使用，防止中间人攻击篡改CORS头。

结语

CORS作为Web安全与跨域通信的基石，通过精细化的HTTP头控制，平衡了资源共享需求与安全风险。开发者需深入理解其工作机制，结合业务场景配置服务器策略，才能在保障系统安全的同时，实现灵活高效的跨域数据交互。