CORS（Mozilla）

CORS（Cross-Origin Resource Sharing）是一个浏览器安全机制，用于控制跨域资源的访问权限。当一个网页中的 JavaScript 代码试图请求不属于同一源（origin）的资源时，CORS 可以决定是否允许此请求。

为什么需要 CORS

在 Web 开发中，由于同源策略的限制，浏览器默认禁止来自不同源的交互操作。同源策略是一项重要的安全措施，它防止恶意网站窃取用户数据或执行对用户敏感权限的操作。然而，有时我们确实需要在网页上请求不同源的资源，这时 CORS 就起到了关键作用。

如何启用 CORS

在客户端代码中，发送跨域请求时，浏览器会自动进行 CORS 预检（preflight）机制，并向服务器发送 OPTIONS 请求，以确定是否允许跨域访问。服务器需要正确配置 CORS 头部，以满足浏览器的要求。

以下是一个常见的 CORS 响应头的配置示例：

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type

• Access-Control-Allow-Origin 指定哪些域名可以访问资源，* 表示允许所有域名（不推荐）。
• Access-Control-Allow-Methods 指定允许的 HTTP 请求方法。
• Access-Control-Allow-Headers 指定可以在请求中使用的额外的头部信息。

CORS 的限制

CORS 的使用在一定程度上解决了跨域请求的问题，但仍然有一些限制需要注意：

• 客户端浏览器必须支持 CORS。
• 如果请求中包含非简单方法（如PUT、DELETE等）或自定义头部，浏览器会先发送 OPTIONS 请求，并根据响应结果决定是否发送真正的请求。
• 某些浏览器对跨域的请求限制更为严格，可能需要通过其他手段解决跨域问题。

总结

CORS 是一种安全机制，允许在网页上请求不同源的资源。它通过正确配置服务器的响应头来控制跨域访问。虽然 CORS 解决了一部分跨域问题，但仍需要注意其限制和兼容性问题。

参考链接：

• MDN Web 文档：HTTP 访问控制（CORS）