前端跨域解决方案——CORS

手机

iphone11大小尺寸是多少？苹果iPhone11和iPhone13的区别是什么？

警方通报辅警执法直播中被撞飞：犯罪嫌疑人已投案

前端跨域解决方案——CORS

2023-04-27 10:06:59 来源：博客园

CORS（跨来源资源共享）是一种用于解决跨域问题的方案。

CORS（跨来源资源共享）是一种安全机制，用于在浏览器和服务器之间传递数据时，限制来自不同域名的请求。在前端开发中，当通过 XMLHttpRequest（XHR）或 Fetch API 发送跨域请求时，如果服务器没有正确配置 CORS，浏览器会阻止该请求，从而导致请求失败。说白了，它是一种解决跨域问题的方案。

(相关资料图)

CORS 允许服务器指定哪些源可以访问其资源。在跨域请求中，浏览器会发送一个预检请求（ OPTIONS ）到服务器，来确定是否允许跨域访问。预检请求包含了一些额外的头信息，比如请求的方法、请求的头信息等，服务器需要根据这些信息来判断是否允许跨域访问。服务器返回的响应头中，需要设置 Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 等字段来指定允许访问的源和方法。

以下是一个使用 CORS 解决跨域问题的例子：

客户端代码：

fetch("http://CORS.com/api/data", {  method: "GET",  headers: {    "Content-Type": "application/json",  },  mode: "cors",}).then(response => response.json()).then(data => console.log(data)).catch(error => console.error(error))

服务端代码：

const express = require("express");const app = express();app.use((req, res, next) => {  res.setHeader("Access-Control-Allow-Origin", " ");  res.setHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");  res.setHeader("Access-Control-Allow-Headers", "Content-Type");  next();});app.get("/api/data", (req, res) => {  const data = { message: "Hello, World!" };  res.json(data);});app.listen(3000, () => {  console.log("Server listening on port 3000");});

在上面的例子中，客户端使用 fetch 发送一个 GET 请求到 http://CORS.com/api/data ，通过设置 mode 为 cors ，告诉浏览器需要使用 CORS 方案来解决跨域问题。服务端使用 express 框架，设置 Access-Control-Allow-Origin 等响应头，指定允许访问的源和方法。当浏览器发送预检请求时，服务端会返回响应头，告诉浏览器允许跨域访问。

它的优点和不足如下：

优点：

1. 安全性高：CORS 是一种安全的跨域访问解决方案，通过限制允许跨域访问的源和方法，可以有效地防止恶意攻击。1. 灵活性强：CORS 支持不同类型的请求，包括 GET、POST、PUT、DELETE 等，同时也支持不同类型的数据传输格式，比如 JSON、XML 等。1. 使用方便：CORS 只需要在服务器端设置响应头，就可以实现跨域访问，使用方便。

不足：

1. 兼容性问题：CORS 在某些旧版的浏览器中不支持，需要进行特殊处理。1. 跨域请求的额外消耗：在使用 CORS 解决跨域请求时，需要发送预检请求，这会增加请求的时间和带宽消耗。1. CSRF 攻击：虽然 CORS 是一种安全的跨域访问解决方案，但仍然可能存在 CSRF（Cross-Site Request Forgery）攻击，需要在使用时加以注意。可以使用 Cookie、Token 或者请求头中的特定信息来验证请求是否合法。

关键词：