CORS(跨源资源共享)
CORS(跨源资源共享) 是什么?
CORS(跨源资源共享)由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。
CORS 通过 Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Allow-Credentials 等响应头实现。对于非「简单请求」,浏览器会先发送 OPTIONS 预检,只有服务器明确允许该源与方法时才会继续。CORS 并不保护服务器,任何人都可以直接调用 API;它只控制哪些源可以在浏览器内读取响应。常见的错误配置包括:在带凭据的情况下回显 Origin、与 cookies 一起使用通配符 *,或信任 null 源,这些都会导致数据泄露与账户被接管。按路由配置严格的白名单才是安全默认值。
● 示例
- 01
API 仅对 https://app.example.com 返回「Access-Control-Allow-Origin: https://app.example.com」与「Access-Control-Allow-Credentials: true」。
- 02
配置错误的服务器对任何 Origin 都回显并允许凭据,导致跨站数据被窃取。
● 常见问题
CORS(跨源资源共享) 是什么?
由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。 它属于网络安全的 应用安全 分类。
CORS(跨源资源共享) 是什么意思?
由浏览器强制执行的机制,允许服务器有选择地放宽同源策略,使一个源上的 JavaScript 可以读取另一个源的响应。
如何防御 CORS(跨源资源共享)?
针对 CORS(跨源资源共享) 的防御通常结合技术控制与运营实践,详见上方完整定义。
CORS(跨源资源共享) 还有哪些其他名称?
常见的别称包括: 跨源资源共享。