CORS Access-Control-Allow-Origin介绍

什么是CORS?

CORS，全称为"Cross-Origin Resource Sharing"，是一种浏览器安全机制，用于限制在浏览器中跨域请求资源的访问。由于浏览器的同源策略（Same-Origin Policy）限制，不同域的网页默认是无法进行跨域请求的。但是当我们需要向其他域的服务器请求数据时，可以通过CORS机制进行跨域访问。

Access-Control-Allow-Origin是什么?

Access-Control-Allow-Origin是CORS机制中的一部分，它是服务器端返回的HTTP响应头之一，用于告诉浏览器哪些源（或域名）的请求可以访问服务器的资源。当服务器接收到跨域请求时，根据请求的origin信息，检查响应中是否包含Access-Control-Allow-Origin头，如果存在且允许当前的origin访问资源，浏览器会允许跨域请求成功。

设置Access-Control-Allow-Origin

要设置Access-Control-Allow-Origin头，一般有以下三种方式：

1. 允许某个特定源访问资源

Access-Control-Allow-Origin: https://example.com

上面的示例指定了只允许来自"https://example.com"的请求访问资源。只有请求的origin与指定的值相同时，浏览器才会允许跨域请求。

2. 允许所有源访问资源

Access-Control-Allow-Origin: *

上面的示例指定了允许所有源的请求访问资源。使用星号（*）作为值，表示允许任何域的请求进行跨域访问。这样设置会存在安全风险，应该谨慎使用。

3. 根据请求动态设置Access-Control-Allow-Origin

有时候，我们需要根据请求的origin动态设置Access-Control-Allow-Origin头，这时候可以在服务器端检查请求的origin，并将对应的origin作为值设置到响应头中。

// 以下示例是Node.js Express框架中设置的例子
app.use(function (req, res, next) {
  res.setHeader('Access-Control-Allow-Origin', req.header('Origin'));
  // 其他设置...
  next();
});

安全考虑

在设置Access-Control-Allow-Origin时，需要注意一些安全问题：

• 不要设置为*号，除非对所有请求的origin都无条件信任。
• 只允许必要的源进行访问，避免潜在的安全风险。
• 可以设置多个允许的源，以逗号分隔。

参考资料

• MDN Web Docs - CORS
• MDN Web Docs - Access-Control-Allow-Origin