CORS（跨域资源共享）简介 什么是CORS？

CORS 或跨域资源共享，是一种由 Web 浏览器实现的安全功能，允许或限制 Web 应用程序向与提供网页的域不同的域发出请求。简单来说，CORS 决定了一个域中的资源是否可以被另一个域中的网页访问。

默认情况下，Web 浏览器强制执行同源策略，该策略会阻止网页向与提供该页面的域不同的域发出请求。这样做是为了防止恶意网站访问其他网站上的敏感数据。然而，有时 Web 应用程序需要从不同的来源（域、协议或端口）请求资源，这就是 CORS 发挥作用的地方。

CORS 的实际应用

当一个域上的 Web 应用程序需要从另一个域请求数据时，它会发送一个 HTTP 请求，其中包含指示请求来源的特定标头。然后，托管所请求资源的服务器必须通过在响应中发送适当的 CORS 标头来决定是否允许该请求。

例如，如果您正在构建托管在 http://example.com 上的前端应用程序，并且它需要从 http://api.example2.com 获取数据，则 CORS 标头允许位于 api.example2 的服务器。 com 指定是否允许来自 example.com 的请求。

常见用例

以下场景通常需要 CORS：

第三方 API 访问：许多现代 Web 应用程序依赖外部 API 来提供身份验证、支付处理或社交媒体集成等服务。当这些 API 托管在不同的域上时，CORS 是必要的。

前后端通信：如果 Web 应用程序的前端和后端托管在不同的域或子域上，则使用 CORS 来允许它们之间的通信。

CDN（内容交付网络）：网站通常使用 CDN 来提供静态资产，例如图像、样式表或 JavaScript 文件。 CORS 允许主站点从托管在不同源的 CDN 请求这些资源。

CORS 中的关键参数和指标

Access-Control-Allow-Origin：该标头是 CORS 中最重要的标头，指示允许哪些源访问该资源。可以设置为：

特定来源（Access-Control-Allow-Origin：https://example.com）
通配符（Access-Control-Allow-Origin：*），允许任何源访问资源。但是，对于包含凭据的请求不允许这样做。
Access-Control-Allow-Methods：指定访问资源时允许使用哪些 HTTP 方法（例如 GET、POST、PUT、DELETE）。例如：
访问控制允许方法：GET、POST、PUT

Access-Control-Allow-Headers：列出发出实际请求时可以使用的 HTTP 标头。例如，如果请求包含像 X-Custom-Header 这样的自定义标头，则应在此处指定：
访问控制允许标头：X-自定义标头，内容类型

Access-Control-Allow-Credentials：指示请求是否可以包含 cookie、HTTP 身份验证或客户端证书等凭据。这对于需要身份验证的 API 非常重要。例如：Access-Control-Allow-Credentials: true

Access-Control-Expose-Headers：指定浏览器应向请求客户端公开哪些标头。默认情况下，浏览器仅公开一组有限的标头，例如 Cache-Control 和 Content-Type，但 Access-Control-Expose-Headers 可以提供其他标头。

Access-Control-Max-Age：定义浏览器可以缓存预检请求结果（见下文）的时间。它通过减少预检请求的数量来帮助提高性能。例如：
Access-Control-Max-Age：86400（24小时）

预检请求：对于某些类型的请求，尤其是那些修改服务器数据（例如 PUT 或 DELETE）的请求，浏览器使用 HTTP OPTIONS 方法发送预检请求。这会向服务器检查实际请求是否可以安全发送。服务器对预检请求的响应决定浏览器是否继续处理实际请求。

什么时候需要 CORS？

以下情况下需要 CORS：

发出跨域请求：如果您的前端和后端由不同的域或端口提供服务，或者您从应用程序访问外部 API。

访问 CDN 或第三方服务上托管的资源：例如，如果您从 CDN 加载字体、图像或其他资源，服务器必须包含 CORS 标头以允许您的网站访问它们。

安全问题：虽然启用 CORS 允许跨域请求，但应仔细配置它以避免您的应用程序遭受恶意攻击。只应允许受信任的来源，并且应使用身份验证令牌等附加安全措施来保护敏感操作。

结论

CORS 是确保不同来源的资源安全、受控共享的重要机制。经过正确配置，它有助于现代 Web 应用程序与第三方服务和 API 交互，同时保护用户免受安全风险。对于任何使用 API、CDN 或多域应用程序的 Web 开发人员来说，了解如何配置 CORS 标头并了解何时以及为何需要它们至关重要。

以上是CORS（跨域资源共享）简介 什么是CORS？的详细内容。更多信息请关注PHP中文网其他相关文章！