揭秘CORS：跨源资源共享全面指南

在当今互联的Web世界中，应用程序经常需要访问来自不同源的资源。这正是跨源资源共享（Cross-Origin Resource Sharing, CORS）发挥作用的地方。CORS是一种关键的安全机制，它规定了Web浏览器如何处理从一个源（域、协议和端口）到另一个不同源的请求。理解CORS对于每个Web开发人员构建安全且功能完善的Web应用程序至关重要。

什么是同源策略？

在深入了解CORS之前，理解同源策略（Same-Origin Policy, SOP）至关重要。SOP是Web浏览器中实现的一项基本安全机制。其目的是防止一个网站上的恶意脚本访问另一个网站上的敏感数据。一个“源”由协议（如HTTP或HTTPS）、域名（如example.com）和端口号（如80或443）的组合来定义。如果两个URL共享相同的协议、域名和端口，则它们被认为是同源的。

示例：

• http://example.com/app1 和 http://example.com/app2 - 同源 (协议、域名和端口均相同)
• https://example.com/app1 和 http://example.com/app1 - 不同源 (协议不同)
• http://example.com:8080/app1 和 http://example.com/app1 - 不同源 (端口不同)
• http://sub.example.com/app1 和 http://example.com/app1 - 不同源 (子域名不同 – 被视为不同域名)

SOP限制脚本从不同源访问资源，除非采取了像CORS这样的特定措施来允许它。

为什么需要CORS？

虽然同源策略对安全至关重要，但它也可能过于严格。许多现代Web应用程序依赖于从不同的服务器（如API或内容分发网络（CDN））获取数据。CORS提供了一种受控的方式来放宽SOP，允许合法的跨源请求，同时保持安全性。

考虑一个场景：一个托管在 http://example.com 上的Web应用程序需要从托管在 http://api.example.net 上的API服务器获取数据。如果没有CORS，浏览器会因为SOP而阻止此请求。CORS允许API服务器明确指定哪些源被允许访问其资源，从而使Web应用程序能够正常工作。

CORS的工作原理：基础知识

CORS通过客户端（浏览器）和服务器之间交换的一系列HTTP标头工作。服务器使用这些标头来通知浏览器是否允许访问所请求的资源。涉及的关键HTTP标头是 Access-Control-Allow-Origin。

场景1：简单请求

“简单请求”是指满足特定条件的GET、HEAD或POST请求（例如，Content-Type 标头是 application/x-www-form-urlencoded、multipart/form-data 或 text/plain 之一）。在这种情况下，浏览器直接向服务器发送请求，服务器则用 Access-Control-Allow-Origin 标头进行响应。

客户端请求 (来自 http://example.com):

GET /data HTTP/1.1
Host: api.example.net
Origin: http://example.com

服务器响应 (来自 http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Content-Type: application/json

{
  "data": "Some data from the server"
}

在此示例中，服务器响应了 Access-Control-Allow-Origin: http://example.com，表示允许来自 http://example.com 的请求。如果请求中的源与 Access-Control-Allow-Origin 标头中的值不匹配（或者该标头不存在），浏览器将阻止响应，并阻止客户端脚本访问数据。

场景2：预检请求 (用于复杂请求)

对于更复杂的请求，例如使用PUT、DELETE等HTTP方法或带有自定义标头的请求，浏览器会使用HTTP OPTIONS方法执行一个“预检”（preflight）请求。这个预检请求在发送实际请求之前向服务器请求许可。服务器会用标头响应，指定允许哪些方法、标头和源。

客户端预检请求 (来自 http://example.com):

OPTIONS /data HTTP/1.1
Host: api.example.net
Origin: http://example.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header

服务器响应 (来自 http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Methods: GET, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header, Content-Type
Access-Control-Max-Age: 3600

标头解释：

• Access-Control-Allow-Origin: http://example.com - 表示允许来自 http://example.com 的请求。
• Access-Control-Allow-Methods: GET, PUT, DELETE - 指定允许跨源请求的HTTP方法。
• Access-Control-Allow-Headers: X-Custom-Header, Content-Type - 列出实际请求中允许的自定义标头。
• Access-Control-Max-Age: 3600 - 指定浏览器可以缓存预检响应的持续时间（以秒为单位）。这有助于减少预检请求的数量。

如果服务器的预检响应表明请求被允许，浏览器则继续发送实际请求。否则，浏览器将阻止该请求。

客户端实际请求 (来自 http://example.com):

PUT /data HTTP/1.1
Host: api.example.net
Origin: http://example.com
X-Custom-Header: some-value
Content-Type: application/json

{
  "data": "Some data to be updated"
}

服务器响应 (来自 http://api.example.net):

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
Content-Type: application/json

{
  "status": "Data updated successfully"
}

常见的CORS标头

以下是您需要了解的关键CORS标头的分解说明：

• Access-Control-Allow-Origin: 这是最基本的标头。它指定了允许访问资源的源。可能的值包括：
  • 一个特定的源（例如，http://example.com）。
  • *（通配符）：这允许来自任何源的请求。请谨慎使用，因为如果涉及敏感数据，这可能会危及安全。在生产环境中通常应避免使用。
• Access-Control-Allow-Methods: 此标头指定允许跨源请求的HTTP方法（例如GET, POST, PUT, DELETE）。它在预检响应中使用。
• Access-Control-Allow-Headers: 此标头列出了跨源请求中允许的自定义标头。它也在预检响应中使用。
• Access-Control-Allow-Credentials: 此标头指示服务器是否允许在跨源请求中包含凭据（例如，cookie、授权标头）。如果需要发送凭据，应将其设置为 true。在客户端，您还需要在XMLHttpRequest对象上设置 withCredentials = true。
• Access-Control-Expose-Headers: 默认情况下，浏览器只向客户端脚本公开一组有限的响应标头（例如，Cache-Control, Content-Language, Content-Type, Expires, Last-Modified, Pragma）。如果您想公开其他标头，您需要将它们列在 Access-Control-Expose-Headers 标头中。
• Access-Control-Max-Age: 此标头指定浏览器可以缓存预检请求的最长时间（以秒为单位）。较长的时间值可以减少预检请求的数量，从而提高性能。

不同后端语言中的CORS

实现CORS通常涉及配置您的服务器端应用程序以发送适当的CORS标头。以下是在各种语言和框架中执行此操作的示例：

Node.js与Express

您可以使用 cors 中间件包：

const express = require('express');
const cors = require('cors');

const app = express();

// 为所有源启用CORS（在生产环境中请谨慎使用）
app.use(cors());

// 或者，为特定源配置CORS
// app.use(cors({
//   origin: 'http://example.com'
// }));

app.get('/data', (req, res) => {
  res.json({ message: '已为所有源启用CORS！' });
});

app.listen(3000, () => {
  console.log('服务器正在端口3000上运行');
});

Python与Flask

您可以使用 Flask-CORS 扩展：

from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

# 或者，为特定源配置CORS
# CORS(app, resources={r"/api/*": {"origins": "http://example.com"}})

@app.route("/data")
def hello():
    return {"message": "已为所有源启用CORS！"}

if __name__ == '__main__':
    app.run(debug=True)

Java与Spring Boot

您可以使用注解或配置类在Spring Boot应用程序中配置CORS：

使用注解：

import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@CrossOrigin(origins = "http://example.com") // 允许来自 http://example.com 的请求
public class DataController {

    @GetMapping("/data")
    public String getData() {
        return "已为 http://example.com 启用CORS！";
    }
}

使用配置：

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/data")
                .allowedOrigins("http://example.com") // 允许来自 http://example.com 的请求
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*");
    }
}

PHP

 "已为 http://example.com 启用CORS！");
echo json_encode($data);
?>

CORS与安全注意事项

虽然CORS启用了跨源请求，但安全地实现它至关重要。以下是一些重要的考虑因素：

• 在生产环境中避免对 Access-Control-Allow-Origin 使用 *：这允许来自任何源的请求，可能存在安全风险。相反，应明确指定允许访问您资源的源。
• 在服务器端验证 Origin 标头：即使您正在使用处理CORS配置的框架，在服务器端验证 Origin 标头也是一个好习惯，以确保请求来自预期的源。
• 注意 Access-Control-Allow-Credentials：如果您正在使用凭据（例如，cookie、授权标头），请确保在服务器端设置 Access-Control-Allow-Credentials: true 并在客户端设置 withCredentials = true。但是请注意，当 Access-Control-Allow-Credentials 设置为 true 时，不允许使用 Access-Control-Allow-Origin: *。您必须明确指定允许的源。
• 正确配置 Access-Control-Allow-Methods 和 Access-Control-Allow-Headers：仅允许您的应用程序正常运行所必需的HTTP方法和标头。这有助于减少攻击面。
• 使用HTTPS：始终为您的Web应用程序和API使用HTTPS，以保护传输中的数据。

CORS问题排查

CORS问题调试起来可能令人沮丧。以下是一些常见问题及其解决方法：

• “请求的资源上不存在'Access-Control-Allow-Origin'标头”：这是最常见的CORS错误。这意味着服务器没有在其响应中发送 Access-Control-Allow-Origin 标头。请仔细检查您的服务器端配置，以确保正确发送了该标头。
• “对预检请求的响应未通过访问控制检查：它没有HTTP ok状态”：此错误表示预检请求失败。如果服务器未配置为处理OPTIONS请求，或者 Access-Control-Allow-Methods 或 Access-Control-Allow-Headers 标头配置不正确，则可能发生这种情况。
• “响应中的'Access-Control-Allow-Origin'标头的值与请求中的源不相等”：此错误表示请求中的源与 Access-Control-Allow-Origin 标头中的值不匹配。请确保服务器在响应中发送了正确的源。
• 浏览器缓存：有时，浏览器会缓存CORS响应，这可能导致意外行为。尝试清除浏览器缓存或使用其他浏览器，看看是否能解决问题。您还可以使用 Access-Control-Max-Age 标头来控制浏览器缓存预检响应的时间。

调试工具：

• 浏览器开发者工具：使用浏览器的开发者工具（通常按F12键访问）来检查网络请求和响应。查找与CORS相关的标头和错误消息。
• 在线CORS检查器：有一些在线工具可以帮助您测试CORS配置。这些工具会向您的服务器发送请求并分析响应标头，以识别潜在问题。

高级CORS场景

虽然基本的CORS概念相对直接，但还有一些更高级的场景需要考虑：

• CORS与子域名：如果您需要允许来自多个子域名（例如，app1.example.com, app2.example.com）的请求，您不能简单地在 Access-Control-Allow-Origin 标头中使用像 *.example.com 这样的通配符。相反，您需要根据请求中的 Origin 标头动态生成 Access-Control-Allow-Origin 标头。请记住根据允许的子域名白名单验证源，以防止安全漏洞。
• CORS与多个源：如果您需要允许来自多个特定源的请求，您不能在 Access-Control-Allow-Origin 标头中指定多个源（例如，Access-Control-Allow-Origin: http://example.com, http://another.com 是无效的）。相反，您需要根据请求中的 Origin 标头动态生成 Access-Control-Allow-Origin 标头。
• CORS与CDN：当使用CDN为您的API提供服务时，您需要配置CDN将 Origin 标头转发到您的源服务器，并正确缓存 Access-Control-Allow-Origin 标头。有关具体说明，请查阅您的CDN提供商的文档。

CORS最佳实践

为确保安全高效的CORS实施，请遵循以下最佳实践：

• 最小权限原则：仅允许您的应用程序正常运行所必需的最小集合的源、方法和标头。
• 定期审查CORS配置：随着应用程序的发展，定期审查您的CORS配置，以确保其仍然适当和安全。
• 使用框架或库：利用提供内置CORS支持的现有框架或库。这可以简化实现并降低出错的风险。
• 监控CORS违规行为：实施监控以检测和响应潜在的CORS违规行为。
• 保持更新：随时了解最新的CORS规范和安全建议。

结论

CORS是一种关键的安全机制，它能够在Web应用程序中实现受控的跨源请求。理解CORS的工作原理以及如何正确配置它，对于每个Web开发人员都至关重要。通过遵循本全面指南中概述的指导方针和最佳实践，您可以构建安全且功能完善的Web应用程序，与来自不同源的资源无缝交互。

请记住，始终要优先考虑安全性，避免使用过于宽松的CORS配置。通过仔细考虑CORS设置的安全影响，您可以保护您的应用程序和数据免受未经授权的访问。

我们希望本指南能帮助您揭开CORS的神秘面纱。编码愉快！