CORS（跨域資源共享）：原理與應用詳解

引言

在現代 Web 開發中，CORS（Cross-Origin Resource Sharing，跨域資源共享）是一個不可忽視的重要概念。隨着 Web 應用的日益複雜，跨域請求變得越來越普遍。然而，由於同源策略的限制，瀏覽器默認不允許跨域請求。CORS 作爲一種機制，允許服務器顯式指定哪些外部網站可以訪問其資源，從而解決了這一問題。本文將深入解析 CORS 的原理、應用及其優缺點。

CORS 原理

CORS 是一種基於 HTTP 頭的機制，它允許服務器通過返回特定的響應頭來告知瀏覽器，哪些跨域請求是被允許的。CORS 的核心在於服務器設置的幾個關鍵 HTTP 響應頭，其中最重要的是Access-Control-Allow-Origin。

1. 簡單請求與預檢請求

   CORS 請求分爲簡單請求和預檢請求兩種類型。簡單請求不會觸發 CORS 預檢，它只使用幾種 HTTP 方法（如 GET、POST、HEAD），並且不會設置除少數幾個 HTTP 頭之外的任何自定義頭。對於簡單請求，瀏覽器會在請求頭中加入Origin字段，表明請求的來源域。服務器收到請求後，會在響應頭中加入Access-Control-Allow-Origin字段，指定哪些源可以訪問該資源。

   預檢請求則用於複雜請求，如 PUT、DELETE 或使用自定義 HTTP 頭的請求。在發送實際請求之前，瀏覽器會先發送一個 OPTIONS 請求作爲預檢，詢問服務器是否允許跨域請求。服務器通過響應頭中的Access-Control-Allow-Methods、Access-Control-Allow-Headers等信息告知瀏覽器是否允許後續的實際請求。

2. 響應頭詳解

• Access-Control-Allow-Origin：指定哪些源可以訪問該資源。可以設置爲具體的源（如https://example.com），或通配符*表示允許所有源。

• Access-Control-Allow-Methods：在預檢響應中指定實際請求允許使用的方法。

• Access-Control-Allow-Headers：在預檢響應中指定實際請求允許攜帶的自定義頭。

• Access-Control-Max-Age：指定預檢請求的結果（即 OPTIONS 響應）可以被緩存多久。

CORS 的應用

CORS 廣泛應用於 Web 開發中，特別是在前端與後端分離的應用架構中。通過 CORS，Web 應用可以安全地與其他域的服務器進行資源共享，如訪問 API 接口、嵌入第三方資源等。

1. Web API 訪問

   當 Web 應用需要從其他域的服務器獲取數據時，CORS 允許這些跨域請求。例如，一個使用 Vue.js 或 React.js 開發的前端應用可能需要從運行在不同域的 Node.js 後端服務器獲取數據。通過配置 CORS，後端服務器可以明確指定哪些前端應用可以訪問其 API。

2. 第三方資源嵌入

   在網頁中嵌入第三方資源（如廣告、圖片、字體等）時，CORS 同樣適用。服務器可以設置 CORS 策略，允許或拒絕來自特定源的請求，從而控制資源的訪問權限。

3. 其他領域

   CORS 不僅限於 Web 開發，它還可以應用於城市規劃、交通、國土資源、測繪、氣象、地震等多個領域。例如，CORS 系統在城市軌道交通勘測中發揮了重要作用，通過高精度定位技術提高了勘測精度和工作效率。

CORS 的優缺點

優點：

1. 遵循 W3C 標準，易於理解和實現。

2. 配置簡單，只需要在服務器端添加相應的響應頭即可。

3. 支持各種 HTTP 請求方法，提高了 Web 應用的靈活性和可擴展性。

缺點：

1. 爲了安全考慮，瀏覽器會進行預檢查請求，增加了服務器負擔和請求時間。

2. 只能支持瀏覽器的 XMLHttpRequest 或 Fetch API 請求，對於其他類型的請求（如 WebSocket）可能需要其他機制。

3. 需要瀏覽器支持 CORS 策略，舊版瀏覽器可能不支持或支持不完全。

結論

CORS 作爲一種跨域資源共享機制，爲 Web 開發提供了極大的便利。通過合理配置 CORS 策略，開發者可以安全地實現跨域請求，促進 Web 應用的靈活性和可擴展性。同時，也需要注意 CORS 可能帶來的安全問題和性能開銷，合理權衡利弊，確保應用的穩定運行。

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/h8450vnbnPf8lfML70l0Og