如何設定 CORS

Sonui發表於2024-11-20

0x00 引言

CORS 全稱是跨域資源共享（Cross-Origin Resource Sharing），是一種安全機制，用於限制哪些源（origin）可以訪問伺服器上的資源，這裡探討下該如何正確的設定 CORS。

TLDR

關鍵配置要點：

Access-Control-Allow-Origin: 禁止使用 *，應該設定為具體的白名單域名
Access-Control-Allow-Methods: 明確指定允許的 HTTP 方法
Access-Control-Allow-Headers: 明確指定允許的請求頭
Access-Control-Allow-Credentials: 如需攜帶認證資訊，必須設定為 true

0x01 跨域觸發條件

flowchart A[瀏覽器] B[請求URL] C[是否同源] D[獲取同源策略] E[允許訪問] F[觸發CORS檢查] G[跨域錯誤] H[是否簡單請求] I[Preflight] J[正式請求] A --> |發起請求| B B --> |檢查| C C --> |否| F C --> |是同協議+域名+埠| E D --> |檢查請求體| H H --> |是| E H --> |否| I I --> |允許| E I --> |不允許| G

注：簡單請求的定義：

請求方法為 GET、POST 或 HEAD
請求頭只包含安全的欄位（Accept、Accept-Language、Content-Language、Content-Type等）
Content-Type 只限於：application/x-www-form-urlencoded、multipart/form-data、text/plain

這裡只選取了部分內容，更多內容請參考 MDN 文件

0x02 CORS 規範

當為非同源且非簡單請求時會觸發 preflight 檢查，瀏覽器會先發出一個 OPTIONS 請求，用於檢查伺服器是否支援該請求，其請求頭資訊和正式請求一致，但不會攜帶Body。

🚨 重要提示: 為什麼特別強調非簡單請求？當瀏覽器認為這個請求為簡單請求時，不會透過兩次請求進行檢查，也就是沒有 OPTIONS preflight 請求，是直接傳送正式請求，然後根據正式請求的返回頭判定是否跨域決定指令碼是否可以讀取返回內容。

因此也帶來一個問題，雖然前端讀取不到伺服器返回的資訊，但請求是真實發出去伺服器執行了的，如果伺服器沒有正確的跨域處理中介軟體則會導致安全問題。

Example:

OPTIONS /api/v1/user HTTP/1.1
Origin: http://hacker.com
Sec-Fetch-Dest: empty
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors

伺服器在收到 OPTIONS 請求後，需要根據配置進行檢查，如果允許則返回以下資訊：

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://hacker.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type, Authorization

0x03 設定建議

Origins

建立一箇中介軟體，在處理器處理之前檢查 Origin 和 Method，首先判斷 Origin 是否在白名單內，如果在白名單允許範圍內再檢查 Method，如果是 OPTIONS 請求則直接返回 204 No Content，否則進入下一步繼續處理請求。

Methods

可以設定為 *，如果需要限制則設定為白名單。

Headers

可以設定為 *，推薦限制則設定為白名單。注意，在 Authorization 標頭不能被泛化處理，始終需要明確列出。如果伺服器還提供影片服務且為白名單策略時需要新增一個 Range 頭。

Credentials

如果設定為 true，則允許瀏覽器在跨域請求中攜帶 Cookie 資訊，但同時 Access-Control-Allow-Origin 不能設定為 * 必須明確指出具體域名，如果設定為 * 會無效。

Expose-Headers

無所謂，可以不指定，如果瀏覽器需要訪問未在 Access-Control-Allow-Headers 中列出的頭可以透過設定這個頭來解決。

0x04 示例程式碼

const allowedOrigins = ['https://example.com', 'https://api.example.com'];

app.use((req, res, next) => {
  const origin = req.headers.origin;
  if (allowedOrigins.includes(origin)) {
    res.setHeader('Access-Control-Allow-Origin', origin);
    res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
    res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
    res.setHeader('Access-Control-Allow-Credentials', 'true');
  }
  
  if (req.method === 'OPTIONS') {
    return res.sendStatus(204);
  }
  
  next();
});

特別注意：

預檢請求的快取：可透過 Access-Control-Max-Age 設定預檢請求的快取時間，避免重複傳送
錯誤處理：當 CORS 檢查失敗時，瀏覽器會在控制檯輸出詳細的錯誤資訊，但實際的網路請求響應會被瀏覽器攔截，JavaScript 無法訪問具體的錯誤資訊

springboot設定cors跨域請求的兩種方式
2017-12-10
Spring BootCORS跨域
如何設定 HomePod？HomePod設定教程分享
2021-02-11
如何設定vimrc？
2020-08-21
如何設定Cookie
2018-03-25
Cookie
CORS
2020-07-13
CORS
pycharm如何設定背景
2018-11-11
PyCharm
postman如何設定cookie
2020-11-11
PostmanCookie
excel如何設定公式?
2017-07-12
Excel公式
CORS原理及@koa/cors原始碼解析
2019-06-24
CORS原始碼
如何設定一個定時任務？
2018-01-10
如何設定電腦定時關機
2016-03-17
apipost如何設定斷言
2020-11-12
API
mysql如何設定密碼
2018-05-30
MySql密碼
如何設定ASH buffer大小
2015-01-11
如何設定Samza的metrics
2014-04-28
如何設定許可權？
2004-06-25
如何設定印表機共享
2024-03-21
跨域CORS
2018-12-03
跨域CORS
CORS跨域
2022-10-13
CORS跨域
[譯] 理解 CORS
2018-03-02
CORS
寶塔如何設定預設站點
2024-08-14
CSS如何設定不可點選？CSS如何設定不可點選的實現方法
2022-05-11
CSS
win10耳機設定方法_win10如何設定耳機
2020-06-30
Win10
印表機的埠如何設定設定印表機埠的方法
2022-04-15
印表機彩色列印怎麼設定如何設定彩色印表機
2021-12-19
微信隱私安全設定教程如何設定微信隱私安全？
2018-09-28
chrome禁止更新如何設定怎麼設定chrome不自動更新
2020-11-21
Chrome
Excel如何設定列印區域？Exce列印區域設定教程
2018-04-20
Excel
如何設定FreeSWITCH環境
2019-08-14
postgresql如何設定外界訪問
2021-09-11
SQL
pycharm如何設定中文顯示
2021-09-11
PyCharm
PostgreSQL如何設定主鍵序列？
2021-09-11
SQL
如何安裝並設定 Vagrant
2021-09-09
CAD如何設定圖層
2021-08-20
CAD如何設定顏色
2021-08-20
word藝術字型如何設定？
2021-12-14
Hype如何設定字型樣式
2022-03-11
如何設定路由器技巧
2016-08-30
路由器
如何設定MAC地址過濾
2016-10-19
Mac