在 Express 中轻松启用 CORS 跨域资源共享

1. 跨域资源共享 (CORS) 是什么？

在您开始使用 Express 之前，您需要了解跨域资源共享 (CORS)。简单地说，CORS 是一个浏览器安全机制，旨在防止不同域名的 Web 应用程序相互发送 HTTP 请求。

例如，如果您有一个运行在 example.com 域名的前端应用程序，而您的后端 API 运行在 api.example.com 域名的不同服务器上，则浏览器会阻止前端应用程序向后端 API 发送请求。这是因为浏览器认为这是一种潜在的安全风险，因为攻击者可以利用这种方式来窃取您的数据或执行恶意操作。

2. 在 Express 中启用 CORS

在 Express 中启用 CORS 非常简单，只需要几行代码即可。

首先，您需要安装 cors 模块：

npm install cors

然后，在您的 Express 应用程序中，使用 cors() 中间件：

const express = require('express');
const cors = require('cors');

const app = express();

// 启用 CORS
app.use(cors());

现在，您的 Express 应用程序就可以处理来自不同域名的请求了。

3. CORS 选项

cors() 中间件提供了许多选项，允许您对 CORS 行为进行更精细的控制。例如，您可以指定哪些域名可以访问您的 API，哪些 HTTP 方法被允许，以及是否允许使用 cookie。

以下是一些最常用的选项：

• origin: 指定允许访问您的 API 的域名。您可以使用通配符 * 来允许所有域名访问。
• methods: 指定允许的 HTTP 方法。默认情况下，所有方法都被允许。
• allowedHeaders: 指定允许的请求头。默认情况下，所有请求头都被允许。
• exposedHeaders: 指定允许暴露在响应头中的响应头。默认情况下，没有响应头被暴露。
• credentials: 指定是否允许使用 cookie。默认情况下，cookie 不被允许。

有关 cors() 中间件的更多信息，请参阅其官方文档。

4. CORS 与安全性

CORS 是一种非常强大的工具，但它也可能会带来一些安全风险。例如，如果您允许所有域名访问您的 API，那么攻击者可以利用这种方式来窃取您的数据或执行恶意操作。

为了确保您的 API 安全，您应该仔细考虑哪些域名可以访问您的 API，哪些 HTTP 方法被允许，以及是否允许使用 cookie。您还应该使用 SSL 证书来加密您的 API 通信。

5. 结论

在 Express 中启用 CORS 非常简单，只需要几行代码即可。通过使用 cors() 中间件，您可以轻松地让您的 API 可以安全地与其他域名的应用程序进行交互。