Skip to main content

CORS

概述

本文档旨在说明如何在系统服务中配置和管理涉及第三方服务的跨域请求(CORS)。CORS是一个W3C标准,它允许浏览器安全地执行来自不同源的脚本请求。

核心概念

CORS(Cross-Origin Resource Sharing,跨源资源共享)允许浏览器突破同源策略的限制,安全地向不同源的服务器发起AJAX请求。

工作机制

CORS的实现需要浏览器和服务器的协同工作:

  1. 请求分类

    • 简单请求:使用GET、HEAD或POST方法,且HTTP头信息限定在特定范围内。
    • 非简单请求:不符合简单请求条件的请求,如使用除GET、HEAD、POST之外的方法。
  2. 预检请求(Preflight Request)

    • 对于非简单请求,浏览器会先发送OPTIONS请求,询问服务器是否允许跨域请求。
  3. 实际请求与响应

    • 如果预检请求得到允许,浏览器将发送实际请求,服务器需在响应中包含CORS特定的响应头。

CORS的限制

  1. 方法限制:默认只允许GET、POST和HEAD方法。
  2. 头信息限制:敏感信息如Cookies和HTTP认证信息需特别设置。
  3. 响应内容限制:浏览器只能读取简单响应内容。
  4. 安全限制:浏览器默认禁止跨域请求。
  5. 服务器配置:服务器必须正确配置CORS响应头。
  6. 凭证请求:带凭证的请求需特别配置。
  7. 预检请求:可能增加额外延迟。

操作步骤

CORS列表

查看系统中已配置的CORS规则列表。

CORS列表

创建CORS

创建新的CORS规则以允许特定的跨域请求。

CORS创建

配置CORS

配置现有CORS规则的详细参数,如允许的源、方法和头信息。

CORS配置

删除CORS

从系统中移除不再需要的CORS规则。

CORS删除