Image Source: pexels

什么是CORS？

CORS（跨域資源共享）是一種基于HTTP頭部的機制，允許服務器指示瀏覽器可以加載來自其他來源的資源。它是為了解決瀏覽器同源策略的限制而設計的。常見的應用場景包括：

• 使用 fetch() 或 XMLHttpRequest 發起跨域請求。

• 加載 Web 字體（如 Google Fonts）。

• 在 WebGL 中加載紋理資源。

通過CORS，開發者可以在確保安全性的同時，實現跨域數據的訪問。這種機制已經成為現代Web開發中不可或缺的一部分，尤其是在API開發中的CORS問題頻繁出現時。

瀏覽器同源策略的限制

瀏覽器的同源策略是一種重要的安全機制。它限制了網頁中的腳本只能與同源的資源進行交互，避免了惡意網站竊取用戶數據的風險。具體限制包括：

• 無法讀取 Cookie、LocalStorage 和 IndexDB 中的數據。

• 無法訪問非同源的 DOM。

• AJAX 請求不能發送到非同源的域名。

雖然同源策略提升了安全性，但它也給開發者帶來了挑戰。為了突破這些限制，CORS應運而生，成為解決API開發中的CORS問題的關鍵工具。

CORS的工作機制

請求頭與響應頭的作用

CORS的核心在于HTTP請求頭和響應頭的交互。瀏覽器在發起跨域請求時，會自動添加 Origin 請求頭，標明請求的來源。服務器通過響應頭（如 Access-Control-Allow-Origin）來決定是否允許該請求。以下是一個簡單的示例：

GET /api/data HTTP/1.1

Host: example.com

Origin: http://yourdomain.com



HTTP/1.1 200 OK

Access-Control-Allow-Origin: http://yourdomain.com

通過這種方式，服務器可以精確控制哪些來源可以訪問其資源。

預檢請求（Preflight Request）的概念

對于某些復雜的跨域請求，瀏覽器會在正式請求之前發送一個預檢請求。這是為了確保服務器允許特定的HTTP方法和頭部。預檢請求通常使用 OPTIONS 方法，示例如下：

OPTIONS /api/data HTTP/1.1

Host: example.com

Origin: http://yourdomain.com

Access-Control-Request-Method: POST



HTTP/1.1 204 No Content

Access-Control-Allow-Origin: http://yourdomain.com

Access-Control-Allow-Methods: POST

如果預檢請求成功，瀏覽器才會發送實際的請求。這種機制進一步增強了跨域請求的安全性。

CORS請求的分類與代碼實現

簡單請求的定義與處理

簡單請求的條件

簡單請求是指滿足特定條件的跨域請求。瀏覽器會直接發送這些請求，而不會觸發預檢請求。要構成簡單請求，必須滿足以下條件：

• HTTP 方法僅限于 HEAD、GET 或 POST。

• HTTP 頭部字段僅包含以下字段：

  • Accept

  • Accept-Language

  • Content-Language

  • Last-Event-ID

  • Content-Type

• 如果使用 Content-Type，其值必須是以下之一：

  • application/x-www-form-urlencoded

  • multipart/form-data

  • text/plain

以下是常見的簡單請求的 HTTP 方法和頭部字段的對照表：

服務器端的配置示例（Node.js/Express）

在服務器端，你可以通過配置響應頭來處理簡單請求。以下是一個使用 Node.js 和 Express 的示例：

const express = require('express');

const app = express();



app.use((req, res, next) => {

  res.header('Access-Control-Allow-Origin', '*'); // 允許所有來源

  res.header('Access-Control-Allow-Headers', 'Content-Type');

  next();

});



app.get('/api/data', (req, res) => {

  res.json({ message: '這是一個簡單請求的響應' });

});



app.listen(3000, () => console.log('服務器運行在 http://localhost:3000'));

非簡單請求的定義與處理

預檢請求的觸發條件

非簡單請求是指不滿足簡單請求條件的跨域請求。這些請求通常對服務器有特殊要求，例如使用 PUT 或 DELETE 方法，或者自定義頭部字段。瀏覽器在發送非簡單請求前，會先發送一個預檢請求，確認服務器是否允許跨域訪問。

預檢請求使用 OPTIONS 方法，并包含以下關鍵字段：

• Origin：請求的來源。

• Access-Control-Request-Method：實際請求使用的 HTTP 方法。

• Access-Control-Request-Headers：實際請求中使用的自定義頭部字段。

服務器端的配置示例（Node.js/Express）

以下是一個處理非簡單請求的服務器端示例：

const express = require('express');

const app = express();



app.use((req, res, next) => {

  res.header('Access-Control-Allow-Origin', 'http://yourdomain.com'); // 指定允許的來源

  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');

  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');

  if (req.method === 'OPTIONS') {

    res.sendStatus(204); // 預檢請求成功

  } else {

    next();

  }

});



app.put('/api/data', (req, res) => {

  res.json({ message: '這是一個非簡單請求的響應' });

});



app.listen(3000, () => console.log('服務器運行在 http://localhost:3000'));

前端如何發起跨域請求

使用Fetch API的示例

在前端，你可以使用 Fetch API 發起跨域請求。以下是一個示例：

fetch('http://example.com/api/data', {

  method: 'GET',

  headers: {

    'Content-Type': 'application/json',

  },

})

  .then((response) => response.json())

  .then((data) => console.log(data))

  .catch((error) => console.error('請求失敗:', error));

使用Axios的示例

使用 Axios 發起跨域請求更加簡潔。以下是一個示例：

import axios from 'axios';



axios

  .get('http://example.com/api/data')

  .then((response) => console.log(response.data))

  .catch((error) => console.error('請求失敗:', error));

通過這些方法，你可以輕松在前端實現跨域請求。

常見CORS錯誤及其解決方案

錯誤1：No ‘Access-Control-Allow-Origin’ header

錯誤原因分析

這個錯誤通常發生在服務器未正確設置 Access-Control-Allow-Origin 響應頭時。瀏覽器無法確認請求是否被允許，導致跨域請求失敗。以下是常見的觸發場景：

• 請求的憑證模式為 include，但服務器的 Access-Control-Allow-Origin 設置為通配符 *。

• 服務器未返回任何 Access-Control-Allow-Origin 頭部。

解決方法與代碼示例

你可以通過修改服務器的響應頭來解決這個問題。以下是一個 Node.js/Express 的示例：

const express = require('express');

const app = express();



app.use((req, res, next) => {

  res.header('Access-Control-Allow-Origin', 'http://yourdomain.com'); // 指定允許的來源

  res.header('Access-Control-Allow-Credentials', 'true'); // 允許攜帶憑證

  next();

});



app.get('/api/data', (req, res) => {

  res.json({ message: '跨域請求成功' });

});



app.listen(3000, () => console.log('服務器運行在 http://localhost:3000'));

通過這種方式，你可以確保瀏覽器正確處理跨域請求。

錯誤2：Method not allowed by Access-Control-Allow-Methods

錯誤原因分析

當請求使用的 HTTP 方法未被服務器允許時，會出現這個錯誤。以下是常見原因：

• 服務器未在 Access-Control-Allow-Methods 中包含請求方法。

• 請求方法超出了服務器的安全策略范圍。

解決方法與代碼示例

你需要在服務器端明確允許所需的請求方法。以下是一個示例：

const express = require('express');

const app = express();



app.use((req, res, next) => {

  res.header('Access-Control-Allow-Origin', '*'); // 允許所有來源

  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE'); // 指定允許的方法

  next();

});



app.post('/api/data', (req, res) => {

  res.json({ message: 'POST 請求成功' });

});



app.listen(3000, () => console.log('服務器運行在 http://localhost:3000'));

通過這種配置，你可以避免因方法不被允許而導致的錯誤。

錯誤3：Preflight request fails

錯誤原因分析

預檢請求失敗通常是因為服務器未正確處理 OPTIONS 請求。以下是常見原因：

• 服務器未返回 Access-Control-Allow-Headers 或 Access-Control-Allow-Methods。

• 服務器未響應 OPTIONS 請求。

解決方法與代碼示例

你可以通過處理 OPTIONS 請求來解決這個問題。以下是一個示例：

const express = require('express');

const app = express();



app.use((req, res, next) => {

  res.header('Access-Control-Allow-Origin', '*'); // 允許所有來源

  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS'); // 允許的方法

  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization'); // 允許的頭部

  if (req.method === 'OPTIONS') {

    res.sendStatus(204); // 響應預檢請求

  } else {

    next();

  }

});



app.get('/api/data', (req, res) => {

  res.json({ message: 'GET 請求成功' });

});



app.listen(3000, () => console.log('服務器運行在 http://localhost:3000'));

通過這種方式，你可以確保預檢請求順利通過，避免跨域問題。

主流跨域問題解決方案對比

Image Source: pexels

配置CORS響應頭

優勢與局限性

配置CORS響應頭是解決跨域問題的主流方法。它通過設置HTTP頭部字段，如Access-Control-Allow-Origin，來控制資源的訪問權限。你可以靈活地指定允許的來源、方法和頭部字段，從而滿足不同的跨域需求。

這種方法的優勢在于安全性高。服務器可以精確控制哪些域名可以訪問資源，避免數據泄露。此外，它支持多種HTTP方法和復雜的請求頭部，適用于大多數現代應用場景。

然而，配置CORS響應頭也有局限性。它需要服務器端的支持。如果你無法修改服務器配置，跨域問題可能無法解決。此外，配置不當可能導致安全漏洞，例如允許所有來源訪問資源。

適用場景

CORS適用于API開發中的CORS問題，尤其是前后端分離的項目。它在需要嚴格控制訪問權限的場景中表現出色，例如處理敏感數據的應用。

使用代理服務器

優勢與局限性

代理服務器通過在同域下轉發請求來解決跨域問題。你可以在前端配置一個代理，將跨域請求發送到代理服務器，由代理服務器處理跨域問題。

代理服務器的優勢在于簡單易用。你無需修改后端代碼，只需配置前端代理即可解決問題。此外，它可以繞過瀏覽器的同源策略，支持復雜的跨域請求。

但代理服務器也有局限性。它增加了網絡請求的延遲，可能影響性能。同時，代理服務器需要額外的維護成本，適用于開發階段或臨時解決方案。

適用場景

代理服務器適合開發環境中的跨域問題，尤其是無法修改后端配置時。它在快速測試和調試API時非常實用。

JSONP的原理與局限性

JSONP的工作機制

JSONP是一種早期的跨域解決方案。它通過動態創建<script>標簽來加載跨域數據。你可以在服務器端返回一個JavaScript函數調用，前端通過回調函數處理數據。例如：

JSONP的工作機制簡單直接，繞過了瀏覽器的同源策略。它在早期開發中被廣泛使用，尤其是在需要跨域獲取數據的場景中。

為什么JSONP逐漸被淘汰

JSONP的局限性顯著。它只支持GET請求，無法滿足復雜的API需求。此外，錯誤處理不如現代的CORS機制，安全性較低。

隨著現代瀏覽器普遍支持CORS，JSONP逐漸被淘汰。CORS提供了更好的錯誤處理和更廣泛的HTTP請求方法支持，成為解決跨域問題的主流方案。

CORS的優勢與推薦使用場景

CORS是現代Web開發中解決跨域問題的主流方案。它的優勢不僅體現在安全性上，還在靈活性和廣泛適用性方面表現突出。通過正確配置服務器的HTTP頭部，你可以精確控制資源的訪問權限，確保數據安全。

CORS的優勢包括以下幾點：

• 安全性高：服務器可以通過HTTP頭部指定允許的來源，避免數據泄露。

• 靈活性強：支持多種請求類型，例如fetch()和XMLHttpRequest，滿足復雜的跨域需求。

• 廣泛適用：適用于API開發中的CORS問題，尤其是在前后端分離的項目中。

在實際應用中，CORS非常適合需要跨域請求的場景。例如，你可以在前端通過fetch()或Axios發起跨域請求，同時在后端配置響應頭來處理這些請求。對于需要嚴格控制訪問權限的場景，例如處理敏感數據的應用，CORS是一個不可或缺的解決方案。

此外，CORS的市場占比也反映了它的重要性。相比其他跨域解決方案，CORS因其安全性和靈活性被廣泛采用。它不僅支持簡單請求，還能處理復雜的非簡單請求，滿足現代Web開發的多樣化需求。

如果你正在尋找一種可靠的跨域解決方案，CORS是首選。它的配置簡單，適用范圍廣，能夠幫助你輕松解決跨域問題，同時確保數據安全。

CORS跨域問題的解決方法多種多樣，但核心在于正確配置服務器響應頭。你可以根據實際需求選擇合適的方案，例如配置CORS、使用代理服務器或JSONP。CORS作為主流解決方案，憑借其高安全性和靈活性，適用于大多數前后端分離項目。

建議：優先使用CORS來解決跨域問題。它不僅支持復雜請求，還能精確控制資源訪問權限，確保數據安全。

如果你想深入了解CORS的工作原理和配置方法，可以參考以下資源：

• MDN文檔：HTTP訪問控制（CORS）

• Express官方文檔：CORS中間件

• Fetch API官方參考

通過學習這些資料，你將更好地掌握跨域問題的解決技巧！

#你可能也喜歡這些API文章!

2025年必備AI工具推薦 批量替換文本更高效

什么是API數據同步及其實現方式

手把手教你用Python調用本地Ollama API

用CORS解決API跨域問題的完整指南

阿里云郵件群發API教程：從基礎到實踐

API服務器與傳統服務器有什么不同？

什么是API數據接口及其作用

什么是API代理及其作用

API掃描工具的工作原理是什么