CORS是%ignore_a_1%限制跨源请求的安全机制,需服务器返回Access-Control-Allow-Origin等响应头授权;常见报错提示请求被拦截,实为响应头缺失;配置时需注意Credentials与*互斥、预检请求处理等细节。
CORS(跨域资源共享)是浏览器的一种安全机制,用来限制网页脚本向不同源(协议、域名、端口任一不同)的服务器发起请求。它不是JavaScript本身的特性,而是浏览器对JS发起的HTTP请求施加的限制。简单说:你的JS代码想用fetch或XMLHttpRequest访问另一个域名的API,浏览器会先检查对方服务器是否“同意”,这个“同意”就是靠CORS响应头控制的。
常见CORS报错长什么样?
典型提示如:
“Access to fetch at ‘https://api.example.com/data’ from origin ‘http://localhost:3000’ has been blocked by CORS policy…”
这说明请求发出去了,但浏览器在收到响应后发现缺少合法的CORS头,直接拦截了响应内容——注意:服务端其实可能已成功处理请求,只是前端拿不到结果。
服务器必须返回哪些关键响应头?
最基础的配置只需两个响应头:
Access-Control-Allow-Origin:指定允许哪个源访问,比如http://localhost:3000,或用*(仅限无认证请求) Access-Control-Allow-Methods:列出允许的HTTP方法,如GET, POST, PUT, DELETE
如果请求带Cookie或Authorization头,还需额外设置:
Access-Control-Allow-Credentials: true(此时Allow-Origin不能为*,必须写具体域名) Access-Control-Allow-Headers:如Content-Type, Authorization
不同后端怎么加CORS头?
Node.js(Express)示例:
立即学习“Java免费学习笔记(深入)”;
app.use((req, res, next) => { res.header('Access-Control-Allow-Origin', 'http://localhost:3000'); res.header('Access-Control-Allow-Credentials', true); res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE'); res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization'); next();});
Nginx配置片段:
location /api/ { add_header 'Access-Control-Allow-Origin' 'http://localhost:3000'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE'; add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization'; if ($request_method = 'OPTIONS') { add_header 'Access-Control-Max-Age' 1728000; add_header 'Access-Control-Allow-Origin' 'http://localhost:3000'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE'; add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization'; add_header 'Content-Type' 'text/plain; charset=utf-8'; add_header 'Content-Length' 0; return 204; }}
Python(Flask)简写方式:
from flask_cors import CORSCORS(app, origins=['http://localhost:3000'], supports_credentials=True)
开发时的小技巧
本地开发可临时用浏览器插件(如CORS Unblocked)绕过检查——仅用于调试,别依赖它 避免在生产环境用*配Allow-Origin + Allow-Credentials,会报错 预检请求(OPTIONS)是浏览器自动发的,服务器必须正确响应,否则后续请求根本不会发出 后端日志里看不到CORS拦截,因为拦截发生在浏览器层,服务端无感知
基本上就这些。CORS本身不复杂,但细节容易忽略,重点盯住那几个响应头是否匹配你的前端请求方式。
以上就是JavaScript CORS是什么_如何配置服务器?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1543446.html
微信扫一扫 
支付宝扫一扫 
