1 CORS 核心
CORS(Cross-Origin Resource Sharing),即跨域資源共享,是目前最主流的跨域方案,它通過服務器返回的特殊 HTTP 頭,允許瀏覽器放行跨域請求。與傳統的 JSONP 相比,CORS 具有明顯的優勢:
-
支持所有 HTTP 方法(GET/POST/PUT/DELETE 等)
-
更安全可控的權限管理
-
完整的錯誤處理機制
-
支持攜帶 Cookie 等認證信息
1.1?跨域請求的核心流程
當瀏覽器發起跨域請求時,會執行一個關鍵的 "預檢" 流程(Preflight):
-
瀏覽器先發送一個 OPTIONS 方法的預檢請求
-
服務器返回包含 CORS 相關頭部的響應
-
瀏覽器根據響應頭決定是否允許實際請求
這個過程就像是客戶端和服務器之間的一次 "握手",確保雙方就跨域訪問的權限達成一致。
1.2 CORS 核心 HTTP 頭詳解
服務器通過以下關鍵響應頭來控制 CORS 權限:
| 響應頭字段 | 作用描述 | 示例 |
|---|---|---|
| Access-Control-Allow-Origin | 指定允許跨域請求的源(如 | Access-Control-Allow-Origin:?https://example.com |
| Access-Control-Allow-Methods | 列出服務器支持的跨域請求方法(如 | Access-Control-Allow-Methods: GET, POST, PUT |
| Access-Control-Allow-Headers | 聲明請求中允許攜帶的自定義頭部字段(如 | Access-Control-Allow-Headers: X-My-Custom-Header, Content-Type |
| Access-Control-Max-Age | 設定預檢請求結果的緩存時間(單位:秒),避免頻繁發送 OPTIONS 請求。 | Access-Control-Max-Age: 86400 |
| Access-Control-Allow-Credentials | 若值為 | Access-Control-Allow-Credentials: true |
| Access-Control-Expose-Headers | 指定瀏覽器可以訪問的服務器的響應頭列表。多個頭以逗號分隔。 | Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header |
2 實戰案例
2.1 GET 請求跨域
場景說明:
服務端 A:運行在 3000 端口,提供靜態頁面
服務端 B:運行在 4000 端口,提供 API 接口
2.1.1 服務端A(servera.js)
// 引入 Express 框架 - 這是一個用于構建 Web 應用和 API 的 Node.js 框架
const express = require('express');// 創建一個 Express 應用實例 - 這將作為我們 Web 服務器的基礎
const app = express();// 設置靜態文件夾 - 所有位于 'public' 目錄下的文件將直接作為靜態資源提供
// 例如,public/index.html 可以通過 http://localhost:3000/index.html 訪問
app.use(express.static('public'));// 定義監聽端口 - 服務器將在這個端口上接收客戶端的請求
const port = 3000;// 讓應用監聽在指定端口并在控制臺輸出信息
// 當服務器成功啟動后,會執行回調函數中的代碼
app.listen(port, () => {// 在控制臺打印服務器運行信息,包含訪問地址console.log(`Server is running on http://localhost:${port}`);
});2.1.2 靜態頁面A(indext.html)
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>a</title>
</head>
<body><script>// 定義一個立即執行的異步函數 - 這種模式允許我們使用 await 而不需要單獨定義函數(async function () {try {// 使用 fetch API 發送 GET 請求到跨域API - 這是現代瀏覽器提供的原生 AJAX 方法const response = await fetch('http://localhost:4000/users', {// 指定請求方法為 GET - 表示我們正在請求資源method: 'GET',// 指定請求頭,表明期望的響應格式為 JSON - 告訴服務器我們希望收到 JSON 格式的數據headers: {'Accept': 'application/json'}// 使用 then 方法將響應對象轉換為 JSON 格式 - fetch 的第一階段返回的是響應元數據,需要解析 body}).then(response => {// 打印響應頭信息 - 這有助于調試服務器返回的額外信息for (let [key, value] of response.headers) {console.log(`${key}: ${value}`);}// 特別打印內容類型 - 確認服務器返回的數據格式console.log(response.headers.get('content-type'));// 將響應體解析為 JSON 格式 - 返回的是一個 Promisereturn response.json();})// 打印獲取到的響應 - 這里的 response 已經是解析后的 JSON 數據console.log('response ',response);} catch (error) {// 如果有任何錯誤,打印錯誤信息 - 捕獲網絡錯誤或解析錯誤console.error('Error:', error);}// 立即執行上述定義的函數})();</script>
</body>
</html>2.1.3 服務端B(serverb.js)
// 引入 Express 框架 - 用于構建 Web 服務器和 API 的 Node.js 框架
const express = require('express');// 創建一個 Express 應用實例 - 作為服務器的基礎
const app = express();// 使用中間件來設置響應頭,以處理跨域問題 - 允許不同源的客戶端訪問此 API
app.use((req, res, next) => {// 允許所有來源的訪問 - 生產環境中應限制為特定域名res.header("Access-Control-Allow-Origin", "*"); // 允許接受的請求頭 - 告訴瀏覽器允許客戶端在請求中包含這些頭res.header("Access-Control-Allow-Headers", "Accept");// 指定對外暴露的響應頭 - 允許客戶端訪問這些非標準響應頭res.header('Access-Control-Expose-Headers', 'X-My-Custom-Header'); // 設置自定義的響應頭 - 可用于傳遞額外信息給客戶端res.setHeader('X-My-Custom-Header', 'X-My-Custom-Header');// 調用 next 函數,以便將控制權交給下一個中間件 - 確保請求繼續被處理next();
});// 定義一個用戶列表 - 模擬數據庫中的用戶數據
const users = [{id: 1, name: '用戶1'}
];// 創建一個端點,返回用戶列表 - 處理客戶端對 /users 路徑的 GET 請求
app.get('/users', (req, res) => {// 將用戶列表以 JSON 格式返回 - 設置正確的 Content-Type 并發送數據res.json(users);
});// 定義監聽端口 - 服務器將在此端口接收客戶端請求
const port = 4000;// 讓應用監聽在指定端口并在控制臺輸出信息 - 啟動服務器
app.listen(port, () => {// 當服務器開始運行時,打印一條消息 - 指示服務器已成功啟動console.log(`Server is running on http://localhost:${port}`);
});2.2 POST 請求跨域
2.2.1 關鍵配置:Access-Control-Max-Age
在處理復雜請求(如 POST)時,Access-Control-Max-Age?頭非常重要,它可以緩存預檢請求的結果,減少不必要的 OPTIONS 請求:
//設置預檢請求結果緩存1小時(3600秒)
res.header("Access-Control-Max-Age", "3600");2.2.2 靜態頁面A(add.html)
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>a</title>
</head>
<body><script>// 定義一個立即執行的異步函數 - 允許使用 await 語法處理 Promise(async function () {try {// 使用 fetch API 發送 POST 請求到指定的 URL - 用于向服務器提交數據const response = await fetch('http://localhost:4000/users', {// 指定請求方法為 POST - 表示我們正在向服務器提交數據method: 'POST',// 指定請求頭 - 設置內容類型為 JSON 并期望 JSON 響應headers: {'Content-Type': 'application/json', // 告訴服務器請求體是 JSON 格式'Accept': 'application/json' // 告訴服務器期望 JSON 格式的響應},// 請求體 - 將 JavaScript 對象轉換為 JSON 字符串發送body: JSON.stringify({name: '李四'})// 使用 then 方法將響應對象轉換為 JSON 格式 - 解析服務器返回的數據}).then(response => response.json())// 打印獲取到的響應 - 這里的 response 是服務器返回的 JSON 數據console.log('response ', response);} catch (error) {// 如果有任何錯誤,打印錯誤信息 - 捕獲網絡錯誤或解析錯誤console.error('Error:', error);}// 立即執行上述定義的函數})();</script>
</body>
</html>2.2.3 服務端B(serverb.js)
// 引入 Express 框架 - 用于構建 Web 服務器和 API 的 Node.js 框架
const express = require('express');// 創建一個 Express 應用實例 - 作為服務器的基礎
const app = express();// 設置靜態文件夾 - 用于提供靜態資源(如 HTML、CSS、JS 文件)
app.use(express.static('public'));// 使用中間件來解析請求體中的 JSON 數據 - 使 req.body 可以獲取 JSON 格式數據
app.use(express.json());// 使用中間件來解析請求體中的 urlencoded 數據 - 處理表單提交數據
app.use(express.urlencoded({ extended: false }));// 使用中間件來設置響應頭,以處理跨域問題 - 允許不同源的客戶端訪問此 API
app.use((req, res, next) => {// 允許所有來源的訪問 - 生產環境中應限制為特定域名res.header("Access-Control-Allow-Origin", "*"); // 允許接受的請求頭 - 更新為同時允許 Accept 和 Content-Type 頭res.header("Access-Control-Allow-Headers", "Accept,Content-Type");// 指定對外暴露的響應頭 - 允許客戶端訪問這些非標準響應頭res.header('Access-Control-Expose-Headers', 'X-My-Custom-Header'); // 設置自定義的響應頭 - 可用于傳遞額外信息給客戶端res.setHeader('X-My-Custom-Header', 'X-My-Custom-Header');// 設置預檢請求的結果可以被緩存多久 - 減少 OPTIONS 請求的頻率res.header("Access-Control-Max-Age", "3600");// 處理預檢請求(HTTP OPTIONS) - 對于復雜請求,瀏覽器會先發 OPTIONS 請求if (req.method === 'OPTIONS') {// 直接返回 200 狀態碼,結束預檢請求處理return res.sendStatus(200);}// 調用 next 函數,以便將控制權交給下一個中間件 - 確保請求繼續被處理next();
});// 定義一個用戶列表 - 模擬數據庫中的用戶數據
const users = [{id: 1, name: '張三'}
];// 創建一個端點,返回用戶列表 - 處理客戶端對 /users 路徑的 GET 請求
app.get('/users', (req, res) => {// 將用戶列表以 JSON 格式返回 - 設置正確的 Content-Type 并發送數據res.json(users);
});// 創建一個端點,處理添加用戶請求 - 處理客戶端對 /users 路徑的 POST 請求
app.post('/users', (req, res) => {// 從請求體中獲取新用戶數據const user = req.body;// 為新用戶生成唯一 ID(基于當前最后一個用戶的 ID)user.id = users[users.length - 1].id + 1;// 將新用戶添加到用戶列表users.push(user);// 返回更新后的用戶列表 - 通常創建成功返回 201 狀態碼和新資源res.json(users);
});// 定義監聽端口 - 服務器將在此端口接收客戶端請求
const port = 4000;// 讓應用監聽在指定端口并在控制臺輸出信息 - 啟動服務器
app.listen(port, () => {// 當服務器開始運行時,打印一條消息 - 指示服務器已成功啟動console.log(`Server is running on http://localhost:${port}`);
});2.3 攜帶Cookie的跨域請求
關鍵概念
-
Cookie:服務器存儲在客戶端的小段數據,用于跟蹤用戶狀態(如登錄信息)
-
跨域限制:默認情況下,瀏覽器不會在跨域請求中攜帶 Cookie
-
CORS 與 Cookie 的結合:需服務端與客戶端同時配置
關鍵細節
-
服務端必須:
-
設置?
Access-Control-Allow-Origin?為具體域名(非*) -
添加?
Access-Control-Allow-Credentials: true -
使用?
res.cookie()?方法設置 Cookie
-
-
客戶端必須:
-
在請求中添加?
credentials: 'include'
-
-
安全注意事項:
-
建議使用?
httpOnly: true?防止 XSS 攻擊 -
生產環境中配合 HTTPS 使用,確保 Cookie 加密傳輸
-
2.3.1 服務端B(serverb.js)
// 引入 Express 框架 - 用于構建 Web 服務器和 API 的 Node.js 框架
const express = require('express');// 引入 cookie-parser 中間件,用于處理 Cookie - 解析請求中的 cookie 數據
const cookieParser = require('cookie-parser');// 創建一個 Express 應用實例 - 作為服務器的基礎
const app = express();// 設置靜態文件夾 - 用于提供靜態資源(如 HTML、CSS、JS 文件)
app.use(express.static('public'));// 使用 cookie-parser 中間件 - 使 req.cookies 可以獲取客戶端發送的 cookie
app.use(cookieParser());// 使用中間件來解析請求體中的 JSON 數據 - 使 req.body 可以獲取 JSON 格式數據
app.use(express.json());// 使用中間件來解析請求體中的 urlencoded 數據 - 處理表單提交數據
app.use(express.urlencoded({ extended: false }));// 使用中間件來設置響應頭,以處理跨域問題 - 允許不同源的客戶端訪問此 API
app.use((req, res, next) => {// 允許所有來源的訪問 - 修改為動態允許當前請求的來源(支持帶憑證的 CORS)res.header("Access-Control-Allow-Origin", req.headers.origin); // 允許接受的請求頭 - 包括 Accept 和 Content-Typeres.header("Access-Control-Allow-Headers", "Accept,Content-Type");// 指定對外暴露的響應頭 - 允許客戶端訪問這些非標準響應頭res.header('Access-Control-Expose-Headers', 'X-My-Custom-Header'); // 設置自定義的響應頭 - 可用于傳遞額外信息給客戶端res.setHeader('X-My-Custom-Header', 'X-My-Custom-Header');// 設置預檢請求的結果可以被緩存多久 - 減少 OPTIONS 請求的頻率res.header("Access-Control-Max-Age", "3600");// 允許發送 Cookie - 啟用跨域請求中的 cookie 支持res.header("Access-Control-Allow-Credentials", "true");// 處理預檢請求(HTTP OPTIONS) - 對于復雜請求,瀏覽器會先發 OPTIONS 請求if (req.method === 'OPTIONS') {// 直接返回 200 狀態碼,結束預檢請求處理return res.sendStatus(200);}// 調用 next 函數,以便將控制權交給下一個中間件 - 確保請求繼續被處理next();
});// 定義一個用戶列表 - 模擬數據庫中的用戶數據
const users = [{id: 1, name: '張三'}
];// 創建一個端點,返回用戶列表 - 處理客戶端對 /users 路徑的 GET 請求
app.get('/users', (req, res) => {// 將用戶列表以 JSON 格式返回 - 設置正確的 Content-Type 并發送數據res.json(users);
});// 創建一個端點,處理添加用戶請求 - 處理客戶端對 /users 路徑的 POST 請求
app.post('/users', (req, res) => {// 從請求體中獲取新用戶數據const user = req.body;// 為新用戶生成唯一 ID(基于當前最后一個用戶的 ID)user.id = users[users.length - 1].id + 1;// 將新用戶添加到用戶列表users.push(user);// 返回更新后的用戶列表res.json(users);
});// 創建一個路由,用于計數 - 演示 cookie 的使用
app.get('/count', (req, res) => {// 從請求的 Cookies 中獲取 "count" 的值,如果不存在,則默認為 0let count = req.cookies.count || 0;// 將計數器的值加 1count++;// 在響應的 Cookies 中設置 "count" 的值// 同時設置最大過期時間為 24 小時(毫秒為單位)// 并設置只能通過 HTTP 訪問(防止 XSS 攻擊)res.cookie('count', count, { maxAge: 24 * 60 * 60 * 1000, // 24小時后過期httpOnly: true // 僅通過 HTTP 訪問,JavaScript 無法讀取});// 將計數器的值以 JSON 格式返回給客戶端res.json({ count });
});// 定義監聽端口 - 服務器將在此端口接收客戶端請求
const port = 4000;// 讓應用監聽在指定端口并在控制臺輸出信息 - 啟動服務器
app.listen(port, () => {// 當服務器開始運行時,打印一條消息 - 指示服務器已成功啟動console.log(`Server is running on http://localhost:${port}`);
});2.3.2 靜態頁面A(count.html)
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><!-- 用于顯示計數結果的段落 --><p id="notice"></p><script>// 使用 fetch API 發送 GET 請求到計數端點 - 從服務器獲取計數并顯示async function getCount() {try {// 發送請求到服務器的 /count 端點const response = await fetch('http://localhost:4000/count', {method: 'GET',// 需要包含此行以發送 Cookie - 跨域請求默認不發送憑證credentials: 'include' }).then(response => response.json())// 將服務器返回的計數更新到頁面上document.getElementById('notice').innerHTML = `Count: ${response.count}`;} catch (error) {// 捕獲并打印請求過程中的任何錯誤console.error('Error:', error);}}// 頁面加載后立即執行獲取計數的函數getCount();</script>
</body>
</html>CORS 相比 JSONP 更安全、更靈活,支持全類型請求和 Cookie 攜帶,是現代前端項目的首選跨域方案。通過本文的理論講解和實戰案例,相信您已經對 CORS 有了全面的理解。在實際開發中,合理運用 CORS 可以幫助我們構建更靈活、更強大的應用程序。
下一章將介紹 postMessage?方案 ,敬請期待!
:spring-boot-autoconfigure.jar的模塊化設計)
)
差異對比)
)
)
