测试 CORS - Shell/Bash

CORS (Cross-Origin Resource Sharing) 是一个重要的Web安全机制，它用于在浏览器与服务器之间控制跨源资源访问（跨域访问）。

在本篇文章中，我们将介绍如何使用Shell/Bash命令行来测试CORS。

环境要求

• Shell/Bash命令行
• curl命令行工具

测试CORS

1. 发送简单的CORS请求

发送简单的CORS请求并不需要额外的设置。我们可以使用curl来测试这种情况。

$ curl 'https://example.com'

如果服务器允许跨域资源访问，那么我们应该会得到正常的响应。

2. 发送自定义的HTTP头信息

有时候我们需要在请求头中添加一些自定义的HTTP头信息，比如我们可以添加一个自定义的X-Requested-With头用于区分Ajax请求。

$ curl 'https://example.com' -H 'X-Requested-With: XMLHttpRequest'

如果服务器允许跨域资源访问并且允许我们添加自定义的HTTP头信息，那么我们同样应该会得到正常的响应。

3. 发送需要预检的CORS请求

如果我们发送的CORS请求要求进行预检，那么服务器将会在收到实际请求之前发送一个预检请求（预检请求是一个带有特定的OPTIONS方法的请求）。

以发送带有自定义HTTP头信息的CORS请求为例，我们需要在预检请求中添加对应的Access-Control-Request-Headers头信息。

$ curl 'https://example.com' -H 'Origin: https://example.org' \
    -H 'Access-Control-Request-Method: POST' \
    -H 'Access-Control-Request-Headers: X-Requested-With'
    -X OPTIONS --verbose

在这个例子中，我们使用--verbose选项可以看到完整的请求和响应的头信息。如果服务器允许跨域资源访问并且允许我们添加自定义的HTTP头信息，那么我们应该会得到正常的响应。

结论

在本文中，我们介绍了如何使用Shell/Bash命令行来测试CORS。虽然我们只是简单地发送了一些请求，但这些请求涵盖了几乎所有CORS测试的场景。在你的实际开发中，你可能需要更加复杂的测试场景，但是这些例子可以作为起点，帮助你更好地理解和使用CORS机制。