CORS使用中的几点注意事项，全面认识CORS

随着互联网的快速发展，跨域资源共享（CORS）作为一种解决浏览器同源策略限制的技术，在实际开发中得到了广泛的应用。本文将重点关注CORS实现过程中的几个疑惑点，帮助您更全面地了解和使用CORS。

1. 简单请求与预检请求

浏览器将CORS请求分为两类：简单请求和预检请求。

• 简单请求：只满足以下所有条件的请求才属于简单请求：
  • 请求方法为GET、POST、HEAD
  • HTTP头仅包含以下几种：Accept、Accept-Language、Content-Language、Content-Type（但值必须是application/x-www-form-urlencoded、multipart/form-data或text/plain）
  • 没有自定义的HTTP头
  • 无携带凭证（例如Cookie、HTTP认证等）
• 预检请求：不满足以上条件之一的请求都属于预检请求。预检请求首先会向服务器发送一个OPTIONS请求，以获取服务器支持的CORS请求选项。服务器会返回一个OPTIONS响应，告知浏览器可以使用哪些HTTP方法、HTTP头和凭证。浏览器在收到OPTIONS响应后，再发送实际的请求。

2. 凭证和Cookie的使用

CORS请求默认情况下不会携带凭证，包括Cookie、HTTP认证等。如果需要携带凭证，需要在请求中设置withCredentials属性为true。但是，只有服务器在OPTIONS响应中设置了Access-Control-Allow-Credentials为true，才会允许客户端发送携带凭证的请求。

需要注意的是，Cookie的发送与CORS请求携带凭证的设置是相互独立的。即使不设置withCredentials属性，请求也可能携带Cookie。这是因为浏览器默认会将所有Cookie发送给同源服务器。如果服务器设置了Access-Control-Allow-Origin为'*'（表示允许所有来源），则浏览器会将Cookie发送给该服务器。

3. 安全性考虑

CORS主要用于解决浏览器同源策略的限制，允许不同来源之间的资源共享。但是，CORS并不能保证资源共享的安全性。因此，在使用CORS时，需要考虑以下安全性问题：

• CORS不会检查请求的来源，因此恶意网站可以伪造其他网站的请求，从而获取敏感数据。
• CORS不会对请求的内容进行验证，因此恶意网站可以发送恶意请求，从而破坏目标网站。
• CORS不会阻止服务器对请求进行重定向，因此恶意网站可以将请求重定向到其他网站，从而窃取用户数据。

4. 跨域资源共享的实现

CORS的实现主要涉及两个方面：服务器端和客户端。

• 服务器端需要在响应头中添加CORS相关的HTTP头，包括Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等。这些HTTP头用于告知浏览器哪些来源、HTTP方法、HTTP头是允许的。
• 客户端需要在发送CORS请求时，根据服务器端的CORS响应头来判断请求是否可以发送。如果请求被允许，则发送实际的请求。如果请求不被允许，则浏览器会阻止请求发送。

5. 总结

CORS作为一种解决浏览器同源策略限制的技术，在实际开发中得到了广泛的应用。本文重点关注了CORS实现过程中的几个疑惑点，包括简单请求与预检请求、凭证和Cookie的使用、安全性考虑和跨域资源共享的实现。希望本文能帮助您更全面地了解和使用CORS。