CORS是浏览器强制执行的跨域安全机制,需后端配置响应头(如Access-Control-Allow-Origin)才能合法跨域,前端无法绕过或伪造。
JavaScript 本身无法直接绕过浏览器的同源策略发起跨域请求,但可以通过服务端配合的 CORS(Cross-Origin Resource Sharing) 机制合法实现。关键不在前端“怎么发”,而在于后端是否正确配置响应头。
什么是 CORS?为什么前端不能自己解决?
CORS 是浏览器强制执行的安全机制,它要求服务端在响应中明确声明哪些源(Origin)可以访问该资源。即使你用 fetch 或 XMLHttpRequest 发起跨域请求,浏览器也会先发一个 预检请求(OPTIONS)(针对非简单请求),再根据服务端返回的响应头(如 Access-Control-Allow-Origin)决定是否放行后续请求。前端代码无法跳过这一步,也无法伪造这些响应头。
后端必须配置的关键响应头
常见且必需的响应头包括:
-
Access-Control-Allow-Origin:指定允许访问的源,如https://example.com;设为*表示允许任意源(但不支持携带凭证) -
Access-Control-Allow-Methods:列出允许的 HTTP 方法,如GET, POST, PUT, DELETE -
Access-Control-Allow-Headers:声明允许客户端发送的自定义请求头(如Authorization,X-Requested-With) -
Access-Control-Allow-Credentials:若前端设置了credentials: 'include',此项必须为true,且Access-Control-Allow-Origin不能是* -
Access-Control-Expose-Headers(可选):指定哪些响应头可被前端 JavaScript 读取(默认只能读Cache-Control、Content-Language等少数头)
前端 fetch 示例与注意事项
前端调用时需注意是否携带凭证、是否触发预检:
立即学习“Java免费学习笔记(深入)”;
- 简单请求(如
GET/POST+ 常见 Content-Type)可能不触发预检 - 带自定义 header(如
Authorization)、PUT/DELETE方法、或Content-Type为application/json会触发预检 - 若需传 Cookie 或认证信息,必须同时设置:
fetch(url, { credentials: 'include' }),且后端Access-Control-Allow-Credentials: true
常见后端配置方式(简例)
Node.js(Express):
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', 'https://your-frontend.com');
res.header('Access-Control-Allow-Credentials', 'true');
res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
if (req.method === 'OPTIONS') {
return res.sendStatus(200);
}
next();
});
Python(Flask)可使用 flask-cors 扩展;Java(Spring Boot)可用 @CrossOrigin 注解或全局配置;Nginx 也可在反向代理层添加响应头。
