跨域请求CORS配置方法详解

最新推荐文章于 2026-06-08 08:58:10 发布
原创 最新推荐文章于 2026-06-08 08:58:10 发布 · 1.8k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,请勿转载。如无意间引用了他人成果,敬请指出,我会删除。
GEO检测
标签
#c# #webapi

处理跨域请求(CORS)需要通过服务器配置策略,确保不同源的客户端(如浏览器)能安全访问资源。以下是核心原理和配置方法:

一、CORS 的核心原理

  1. 同源策略:浏览器默认阻止跨域请求(协议、域名、端口任一不同)。
  2. CORS 机制:服务器通过响应头声明允许的跨域规则,浏览器据此决定是否放行。

二、CORS 配置关键步骤

服务器端设置以下响应头:

1. 基础配置

  • Access-Control-Allow-Origin

    指定允许访问的源(域名),支持通配符 *(慎用)或具体域名。

Access-Control-Allow-Origin: https://example.com

  • Access-Control-Allow-Methods

    允许的 HTTP 方法(如 GET, POST, PUT)。

Access-Control-Allow-Methods: GET, POST, OPTIONS

  • Access-Control-Allow-Headers

    允许客户端携带的请求头(如 Authorization, Content-Type)。

Access-Control-Allow-Headers: Content-Type, Authorization

  • Access-Control-Allow-Credentials(可选)

    是否允许发送 Cookie(需与 Access-Control-Allow-Origin: 具体域名 配合使用)。

Access-Control-Allow-Credentials: true
2. 处理预检请求(Preflight Request)

复杂请求(如 Content-Type: application/json)会触发 OPTIONS 预检请求,服务器需:

  • 响应 OPTIONS 方法。
  • 返回 Access-Control-Max-Age 缓存预检结果(单位:秒)。
Access-Control-Max-Age: 86400

三、常见服务器配置示例

1. .NET 6+ 示例(最小 API 或 MVC)
var builder = WebApplication.CreateBuilder(args);

// 添加 CORS 策略
builder.Services.AddCors(options =>
{
    options.AddPolicy("AllowSpecificOrigin",
        policy =>
        {
            policy.WithOrigins("https://example.com") // 允许的域名
                  .AllowAnyMethod()                 // 允许所有 HTTP 方法(GET/POST/PUT 等)
                  .AllowAnyHeader()                 // 允许所有请求头
                  .AllowCredentials();              // 允许携带凭据(如 Cookie)
        });
});

var app = builder.Build();

// 启用 CORS 中间件
app.UseCors("AllowSpecificOrigin");

app.MapControllers(); // 如果是 MVC
app.Run();
2. .NET 5 及以下(Startup.cs)
public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddCors(options =>
        {
            options.AddPolicy("AllowSpecificOrigin",
                policy =>
                {
                    policy.WithOrigins("https://example.com")
                          .AllowAnyMethod()
                          .AllowAnyHeader()
                          .AllowCredentials();
                });
        });
        services.AddControllers();
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        app.UseRouting();
        app.UseCors("AllowSpecificOrigin"); // 必须在 UseRouting 之后、UseEndpoints 之前
        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllers();
        });
    }
}
3. Nginx
location / {
    add_header 'Access-Control-Allow-Origin' 'https://example.com';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';
    add_header 'Access-Control-Allow-Credentials' 'true';

    if ($request_method = OPTIONS) {
        return 204;
    }
}

四、注意事项

  1. 安全性:避免使用 Access-Control-Allow-Origin: *,除非明确允许所有域。
  2. 凭证(Credentials):若启用 Allow-Credentials,必须指定具体域名。
  3. 预检请求缓存:合理设置 Max-Age 减少请求次数。
  4. 测试工具:使用 curl 或 Postman 验证响应头。

五、调试工具

  • 浏览器控制台:查看 CORS 错误详情。
  • 在线检测工具:如 test-cors.org

通过合理配置 CORS 策略,既能保障安全,又能实现灵活的跨域资源共享。

Spring Cloud Gateway:CORS配置
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
06-22 2175
可以在Spring Cloud Gateway上全局或每个路由上配置资源共享(CORS)行为。
Spring Boot3 配置 Cors
xdpcxq1029的博客
01-19 1482
CORS,全称是“源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求
【个人博客搭建】(19)Cors配置
【PlateauSnow】的博客
05-28 822
net 8 Cors配置
CORS访问、如何在Nginx中配置允许访问
xxjj998a的博客
04-01 62
访问(Cross-Origin Resource Sharing, CORS)是浏览器安全策略的一部分,用于控制不同源(origin)之间的资源共享。当一个网页尝试从不同的源(协议、名或端口中的任何一个不同)加载资源时,就会触发访问问题。
HTTP 请求头CORS 请求详解
ili_ii的博客
02-24 6337
它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。还可用做电子商务网站的安全,在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。同时,Cookie依然遵循同源政策,只有用服务器设置的Cookie才会上传,其他名的Cookie并不会上传,且(源)原网页代码中的document.cookie也无法读取服务器名下的Cookie。
【WEB】深入理解 CORS资源共享):原理、配置与常见问题
人生苦短,睡觉要紧,睡醒再说
11-13 4661
浏览器的同源策略(Same-Origin Policy)是一种重要的安全机制,用于阻止不同源()之间的恶意操作。根据同源策略,网页中的脚本只能访问与其所在网页相同源的资源。协议(Scheme):如http://或https://;主机(Host):如或;端口(Port):如80或8080。如果请求的协议、主机名或端口号不一致,浏览器将视为请求,默认会阻止这样的访问。和属于不同来源(协议不同);和属于不同来源(主机名不同);和属于不同来源(端口不同)。如果不使用cors// 允许的源。
zero-to-production资源共享:CORS配置与前端请求处理
gitblog_01136的博客
09-08 694
你是否曾在前端控制台看到过这样的错误:`Access to fetch at 'http://api.example.com/data' from origin 'http://localhost:3000' has been blocked by CORS policy`?当使用zero-to-production构建的Rust API需要与前端应用通信时,资源共享(Cross-Origin...
js总结(jsonp,postMessage,CORS
lululul123的博客
08-02 2431
当协议,子名,主名,端口中任何一个不相同的时候,都算做不同。不同之间相互请求资源,就是属于。Js处于安全方面考虑,不允许调用其他页面的对象。 简单的说,因为js同源策略的限制。a.com名下的js无法操场b.com或c.a.com下的对象。 现实生活中,一个公司有多个子公司,或者一个公司和另一个公司合作。这就不可避免的要出现情况。 为了在必要的时候实现
Alosaur资源共享(CORS)配置:解决前端请求难题
最新发布
gitblog_01000的博客
06-08 957
在现代Web开发中,资源共享(CORS)是前端开发者经常遇到的挑战。Alosaur作为一款基于Deno的Web框架,提供了简洁高效的CORS解决方案,帮助开发者轻松应对请求难题。本文将详细介绍如何在Alosaur框架中配置CORS,让你的前端应用与后端服务无缝通信。 ## 为什么需要CORS配置? 当浏览器从一个名的网页去请求另一个名的资源时,就会产生请求。出于安全考虑,浏览器
Bilibili-EvolvedCookie共享终极指南:CORS与凭证配置详解
gitblog_00207的博客
02-25 844
Bilibili-Evolved作为一款强大的哔哩哔哩增强脚本,不仅提供了丰富的自定义功能,还涉及到复杂的资源共享(CORS)和Cookie凭证配置。对于新手用户来说,理解并正确配置这些参数是充分发挥脚本功能的关键。本文将详细介绍Bilibili-Evolved中的Cookie共享机制,帮助用户轻松解决访问问题。 ## 为什么Cookie共享对Bilibili-Evolved至关
Ajax请求问题及其解决方案
qq_51546137的博客
03-02 3038
我们的传统请求,比如说超链接、form表单,js代码以及直接在浏览器地址栏上写请求地址都不存在问题,能够从一个网站访问另外一个网站,但是我们的Ajax请求会存在问题,其主要是为了解决访问带来的安全隐患。因为浏览器中有一个内置对象XMLHTTPRequest。这个对象是每个网站不共享的,因此不能直接,这样设计是合理的,因为一旦共享该对象,这个对象有一个responseTest属性,那么你的网站就能通过该对象的这个属性拿到我的网站里面的信息,这是不安全的,因此Ajax不能直接
通过设置响应头解决问题
qq_37436172的博客
11-12 1万+
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
post请求,并设置请求头
luckydie的博客
03-21 1178
post请求
请求头设置
沙骑马
05-26 3905
#后台配置 这里后台配置了Access-Control-Allow-Methods:*严格标准是不支持的,可能会导致部分浏览器请求失败!
12:CORS设置-Java Spring
Yeats_Liao的博客
10-05 2519
12:CORS设置-Java Spring
SpringBoot配置cors
java scala
09-16 2081
先简单介绍一下CORS的背景 同源策略 问题的产生是因为浏览器的同源策略。同源策略将协议+名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 资源共享 CORS CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。 它允许浏览器向源服务器,发出XMLHttpRe
SpringBoot设置CORS
热门推荐
骑个小蜗牛的博客
03-23 4万+
目录什么是资源共享(CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是 请求url的协议、名、端口三者有任意一个不同即为问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、名、端口三者都相同即为同源(同一个)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
Nginx | Nginx之配置(CORS)
苏老师的博客
10-19 2万+
Nginx-配置(CORS) CORS 什么是CORS ? CORS是一个W3C的标准,全称是资源共享(Cross-origin resource sharing). 他允许浏览器向源服务器,发出XMLHttpRequest请求,从而客服了AJAX只能同源使用的限制. 当前几乎所有的浏览器都可以通过CORS的协议支持AJAX调用. 简单来说就是的目标服务器要返回的一系列的Headers,通过这些Headers来通知是否同意. Nginx通过CROS 实现 #设置Origin
问题详解
X2032628459的博客
12-06 1100
问题是指在 WEB 应用上试图通过 XMLHttpRequest 或者 Fetch API 向不同源(协议、主机、端口)的服务器 发送 访问请求,就会被浏览器根据同源策略进行拦截,同源策略要求请求的协议、端口号、必须完全相同才认为是同源,也就是说只要协议、主机、端口任何一个与当前页面不一致,就会被浏览器阻止,在这种情况下,浏览器会发送一个请求错误。同源策略是一种安全机制,它可以防止不同源的页面对当前页面的访问,它可以防止恶意网站通过请求获取个人信息和其它未授权的操作。
Spring Boot CORS 配置详解:允许请求的最佳实践
Ta20220617的博客
11-04 3451
是指在 Web 应用中,由于浏览器的同源政策(Same-Origin Policy),不同源的网页之间进行交互时所遇到的限制。源的定义包括三个部分:协议(如http或https)、名(如)和端口(如80或443只有当这三者都相同的时候,两个 URL 被认为是同源的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jingzhi. Chen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值