跨域资源共享(CORS)是一种机制,它允许一个 Web 应用程序在一个浏览器上与另一个域名下的服务器上的资源进行交互。
在 Node.js 中,实现 CORS 主要涉及三个方面:设置请求方法、 HTTP 响应头和解决预检请求。本篇文章将详细介绍如何在 Node.js 中实现 CORS。
为什么需要 CORS?
在传统的 Web 开发模式中,所有资源都是在同一个域名下的。但现在很多 Web 应用程序都采用前后端分离的模式,前端和后端分别由不同的代码库维护,部署在不同的服务器上。这样就会产生跨域问题,前端无法访问另一个域名下的资源。如果没有正确的 CORS 设置,浏览器会报错,导致 Web 应用无法正常工作。
设置请求方法
CORS 的最基本作用是允许跨域请求。默认情况下,浏览器只允许以下请求方法和这些请求头。
请求方法:
- GET
- HEAD
- POST
请求头:
- Accept
- Accept-Language
- Content-Language
- Content-Type
如果要使用其他请求方法或请求头,需要在 HTTP 响应头中添加Access-Control-Allow-Methods和Access-Control-Allow-Headers字段。
以下代码示例演示如何设置请求方法:
-- -------------------- ---- -------
----- ---- - ----------------
----------------------- ---- -- -
------------------ -
------------------------------ ----
------------------------------- ----- ---- ----- ------- ---------
------------------------------- -------------- -------------- --------------- ------------------
----------------------------------- -----
---
-- ----------- --- ---------- -
----------
- ---- -
-- ------
-
----------------以上代码中,Access-Control-Allow-Methods字段定义了服务端允许的所有方法,Access-Control-Allow-Headers字段定义了服务端允许的请求头。需要注意的是,Access-Control-Allow-Credentials字段必须设置为true,否则浏览器无法接收到跨域 Cookie。
设置 HTTP 响应头
除了请求方法外,还需要设置 HTTP 响应头,以告诉浏览器允许跨域访问。
以下是常见的 HTTP 响应头:
- Access-Control-Allow-Origin:允许跨域请求的源地址。如果设置为*,则表示接受所有域名的请求,但不推荐使用。
- Access-Control-Allow-Credentials:是否允许发送 Cookie。如果为 true,表示允许发送 Cookie。
- Access-Control-Expose-Headers:允许返回响应头的字段。通常用来允许客户端访问服务端自定义的头信息。
- Access-Control-Max-Age:设置浏览器缓存预检请求的有效时间。
以下代码示例演示如何设置 HTTP 响应头:
-- -------------------- ---- -------
----- ---- - ----------------
----------------------- ---- -- -
------------------ -
------------------------------ ----
------------------------------- ----- ---- ----- ------- ---------
------------------------------- -------------- -------------- --------------- ------------------
----------------------------------- -----
-------------------------------- ----------------
------------------------- -----
---
-- ----------- --- ---------- -
----------
- ---- -
-- ------
-
----------------解决预检请求
当使用 PUT、DELETE、PATCH 和其他非标准请求方法时,浏览器会先发送一个 OPTIONS 预检请求,以确定是否可以使用实际请求。
预检请求包含一个Access-Control-Request-Headers字段,用于告诉服务端实际请求中会使用哪些自定义头信息。服务端需要在响应头中返回与预检请求相关的信息,以允许浏览器发起实际请求。
以下代码示例演示如何解决预检请求:
-- -------------------- ---- -------
----- ---- - ----------------
----------------------- ---- -- -
------------------ -
------------------------------ ----
------------------------------- ----- ---- ----- ------- ---------
------------------------------- -------------- -------------- --------------- ------------------
----------------------------------- -----
-------------------------------- ----------------
------------------------- -----
---
-- ----------- --- ---------- -
-------------------
----------
- ---- -
-- ------
-
----------------以上代码中,如果收到 OPTIONS 请求,则服务端需要返回一个 204 的 HTTP 状态码,并在响应头中返回Access-Control-Allow-Headers字段,告诉浏览器实际请求中会使用哪些自定义头信息。
总结
以上是在 Node.js 中实现 CORS 的方法,包括设置请求方法、 HTTP 响应头和解决预检请求。正确地实现 CORS 可以解决跨域问题,提高 Web 应用的稳定性和可靠性。
值得注意的是,CORS 只是一个机制,不能代替安全控制,我们仍需要对服务端的请求进行授权,并在前端对敏感信息进行加密,以确保 Web 应用的安全性。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/64e1bfe5f6b2d6eab3cf48b4