CORS预检请求解析与跨域解决方案
CORS跨域问题是前端开发常见挑战,本文深入解析CORS预检请求(Preflight Request),即OPTIONS请求,它是浏览器在发起非简单请求(如PUT、DELETE或携带自定义Header)时,为确保安全而自动发送的。文章详细阐述了触发预检的条件,包括请求方法、自定义请求头以及Content-Type类型等,并介绍了预检请求的交互过程,重点在于服务器如何正确响应Access-Control-Allow-Origin、Access-Control-Allow-Methods等关键头部。同时,本文还提供了Node.js Express的后端配置示例,并强调了前端如何通过优化请求方式(如使用POST代替PUT)和合理设置Max-Age来避免不必要的预检,从而提升Web应用的性能,最终有效解决跨域问题。
CORS预检请求是浏览器对非简单请求(如PUT、自定义头、application/json)发起前自动发送的OPTIONS请求,用于确认服务器是否允许跨域。满足以下任一条件即触发:请求方法非GET/POST/HEAD、设置自定义头部(如X-Token)、Content-Type为application/xml等非常规类型。浏览器在预检中携带Access-Control-Request-Method、Access-Control-Request-Headers和Origin头,服务器需响应Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers及可选的Access-Control-Max-Age。以Node.js Express为例,可通过拦截OPTIONS请求并设置对应响应头来处理,注意当携带凭证时Access-Control-Allow-Origin不能为*且需配合Access-Control-Allow-Credentials。前端可优化请求方式避免预检,如用POST代替PUT、减少自定义头、使用标准Content-Type,并利用Max-Age缓存预检结果提升性能。理解机制并合理配置即可解决跨域问题。
跨域问题在前端开发中很常见,尤其是前后端分离项目中。当浏览器发起跨域请求时,如果涉及复杂请求,会先发送一个预检请求(Preflight Request),这就是CORS中的OPTIONS请求。理解并正确处理预检请求,是解决跨域问题的关键。
什么是CORS预检请求
当浏览器判断某个请求属于“非简单请求”时,会自动在正式请求之前发送一个OPTIONS请求,询问服务器是否允许该跨域请求,这个请求就是预检请求。
满足以下任一条件的请求会被视为非简单请求:
- 请求方法不是GET、POST或HEAD
- 设置了自定义请求头(如X-Token、Authorization等)
- Content-Type的值为application/json、multipart/form-data以外的类型(如application/xml)
例如,使用fetch发送JSON数据并携带token:
fetch('/api/data', {method: 'PUT',
headers: {
'Content-Type': 'application/json',
'X-Token': 'abc123'
},
body: JSON.stringify({id: 1})
});
这类请求会触发预检流程。
预检请求的交互过程
浏览器发起预检请求时,会带上几个关键头部信息:
- Access-Control-Request-Method:实际请求的方法(如PUT)
- Access-Control-Request-Headers:实际请求中包含的自定义头部(如X-Token)
- Origin:请求来源(协议+域名+端口)
服务器收到OPTIONS请求后,必须正确响应以下头部:
- Access-Control-Allow-Origin:允许的源,不能为*(若携带凭证)
- Access-Control-Allow-Methods:允许的HTTP方法
- Access-Control-Allow-Headers:允许的请求头字段
- Access-Control-Max-Age:预检结果缓存时间(秒)
只有当服务器返回的响应头匹配了预检要求,浏览器才会继续发送真实请求。
后端如何正确处理预检请求
以Node.js + Express为例,可以这样设置中间件:
app.use((req, res, next) => {if (req.method === 'OPTIONS') {
res.header('Access-Control-Allow-Origin', 'http://localhost:3000');
res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
res.header('Access-Control-Allow-Headers', 'Content-Type, X-Token, Authorization');
res.sendStatus(200);
} else {
next();
}
});
注意:
- Access-Control-Allow-Origin不能为*,如果前端携带cookie,需明确指定源
- Access-Control-Allow-Credentials设为true时,前端需设置withCredentials = true
- 合理设置Max-Age可减少重复预检,提升性能
前端避免不必要的预检
虽然预检是安全机制,但频繁触发会影响性能。可通过以下方式优化:
- 尽量使用简单请求:用POST代替PUT/PATCH
- 避免自定义头部,必要信息可通过标准头部传递
- Content-Type保持为application/x-www-form-urlencoded或text/plain
- 对高频接口,确保服务器开启预检缓存
比如将PUT改为POST,既能达成目的又避免预检:
fetch('/api/data', {method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ action: 'update', id: 1 })
});
基本上就这些。预检请求是浏览器安全策略的一部分,只要前后端配合好,就能顺利通过。关键是理解它的触发条件和通信机制,针对性配置响应头即可。
今天关于《CORS预检请求解析与跨域解决方案》的内容介绍就到此结束,如果有什么疑问或者建议,可以在golang学习网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!
HTML首行空两格的4种方法
- 上一篇
- HTML首行空两格的4种方法
- 下一篇
- Win11安装HEVC扩展播放4K视频方法
-
- 文章 · 前端 | 2小时前 |
- Flex布局order和align-self实战技巧
- 274浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- CSS设置元素宽高方法详解
- 359浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- JavaScript宏任务与CPU计算解析
- 342浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- float布局技巧与应用解析
- 385浏览 收藏
-
- 文章 · 前端 | 3小时前 | JavaScript模块化 require CommonJS ES6模块 import/export
- JavaScript模块化发展:CommonJS到ES6全解析
- 192浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- jQueryUI是什么?功能与使用详解
- 360浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- 搭建JavaScript框架脚手架工具全攻略
- 149浏览 收藏
-
- 文章 · 前端 | 3小时前 | JavaScript Bootstrap 响应式设计 CSS框架 Tab切换布局
- CSS实现Tab切换布局教程
- 477浏览 收藏
-
- 文章 · 前端 | 3小时前 |
- 并发控制:限制异步请求数量方法
- 313浏览 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ChatExcel酷表
- ChatExcel酷表是由北京大学团队打造的Excel聊天机器人,用自然语言操控表格,简化数据处理,告别繁琐操作,提升工作效率!适用于学生、上班族及政府人员。
- 3180次使用
-
- Any绘本
- 探索Any绘本(anypicturebook.com/zh),一款开源免费的AI绘本创作工具,基于Google Gemini与Flux AI模型,让您轻松创作个性化绘本。适用于家庭、教育、创作等多种场景,零门槛,高自由度,技术透明,本地可控。
- 3391次使用
-
- 可赞AI
- 可赞AI,AI驱动的办公可视化智能工具,助您轻松实现文本与可视化元素高效转化。无论是智能文档生成、多格式文本解析,还是一键生成专业图表、脑图、知识卡片,可赞AI都能让信息处理更清晰高效。覆盖数据汇报、会议纪要、内容营销等全场景,大幅提升办公效率,降低专业门槛,是您提升工作效率的得力助手。
- 3420次使用
-
- 星月写作
- 星月写作是国内首款聚焦中文网络小说创作的AI辅助工具,解决网文作者从构思到变现的全流程痛点。AI扫榜、专属模板、全链路适配,助力新人快速上手,资深作者效率倍增。
- 4526次使用
-
- MagicLight
- MagicLight.ai是全球首款叙事驱动型AI动画视频创作平台,专注于解决从故事想法到完整动画的全流程痛点。它通过自研AI模型,保障角色、风格、场景高度一致性,让零动画经验者也能高效产出专业级叙事内容。广泛适用于独立创作者、动画工作室、教育机构及企业营销,助您轻松实现创意落地与商业化。
- 3800次使用
-
- JavaScript函数定义及示例详解
- 2025-05-11 502浏览
-
- 优化用户界面体验的秘密武器:CSS开发项目经验大揭秘
- 2023-11-03 501浏览
-
- 使用微信小程序实现图片轮播特效
- 2023-11-21 501浏览
-
- 解析sessionStorage的存储能力与限制
- 2024-01-11 501浏览
-
- 探索冒泡活动对于团队合作的推动力
- 2024-01-13 501浏览
