阿寒的学习笔记
LiteHub之跨域访问CORS
Qingyh Lv2
  2025 年 07 月 03 日 10:39   2025 年 07 月 12 日 13:49    1.9k 字

原理

基本概念

在浏览器安全模型中,同源策略是最重要的安全基石。
一个“域”是由3个要素组成的:

  • 协议(如:http 或 https)
  • 主机(Host,如 www.example.com 或 127.0.0.1)
  • 端口(Port,如 80 或 8080)

只要这三个完全一致,就是同源的。
例如

下面是官网解释跨域的图解:
image

两种请求:浏览器将 CORS 请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

简单请求

按照 W3C 的 CORS 规范,只有完全满足「安全要求」的跨域请求,浏览器才会把它直接当成简单请求,直接发送给服务端,不需要先发 OPTIONS。
必须同时满足以下条件

  1. 请求方法必须是(GET/HEAD/POST)三者之一
  2. 请求头不能超出以下几个字段(Accept、Accept-Language、Content-Language、Content-Type)等
  3. Content-Type(如果存在的话),其值只能是application/x-www-form-urlencoded、multipart/form-data、text/plain

非简单请求(预检请求)

非简单请求是指那些对服务器有特殊要求的请求,例如:

  • 使用PUT或DELETE方法
  • 设置Content-Type为application/json
    即不满足简单请求的条件的都是预检请求(非简单请求)。

对于这类请求,浏览器会在正式通信前额外发送一次HTTP查询请求(即预检请求),这个过程叫做预检(Preflight)。该请求会确认:

  1. 当前网页域名是否在服务器的许可名单中
  2. 允许使用的HTTP方法和头信息字段
    只有在获得服务器肯定答复后,浏览器才会发出正式的XMLHttpRequest请求,否则将报错。

“预检请求”用的请求方法是 OPTIONS,表示这个请求是用来询问的。头信息里面,关键字是 Origin,表示请求来自哪个源。
除了 Origin 字段,“预检请求”的头信息包括两个特殊字段。
Access-Control-Request-Method:必须字段,列出浏览器的 CORS 请求会用到哪些 HTTP 方法;
Access-Control-Request-Headers:这个字段是一个逗号 , 分隔的字符串,指定浏览器 CORS 请求会额外发送的头信息字段,上面示例是 X-Custom-Header。

代码实现

CORS(Cross-Origin Resource Sharing,跨域资源共享)通过在响应头里加上一组特殊字段来告诉浏览器,这个资源允许被某些源访问。

服务器端Cors的关键配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
struct CorsConfig 
{
    std::vector<std::string> allowedOrigins;//允许哪些域名可以访问
    std::vector<std::string> allowedMethods; //允许哪些方法可以跨域调用
    std::vector<std::string> allowedHeaders; //允许前端请求里带哪些请求头
    bool allowCredentials = false; //不允许携带Cookie/Authorization header/TLS client cert 这类凭证信息
    int maxAge = 3600;             //浏览器缓存预检请求的最大时长, 1 小时内同样的跨域请求只会发送一次 OPTIONS,之后直接用缓存的结果
    
    static CorsConfig defaultConfig() 
    {
        CorsConfig config;
        config.allowedOrigins = {"*"}; //这里允许的是所有域名
        config.allowedMethods = {"GET", "POST", "PUT", "DELETE", "OPTIONS"}; //在预检请求(OPTIONS)的响应里告诉浏览器:后端接受哪些方法
        config.allowedHeaders = {"Content-Type", "Authorization"}; //允许前端带Content-Type(比如 application/json)和Authorization(携带JWT Token等)
        return config;
    }
};

服务端解析预检请求

处理客户端发来的请求的流程如下:

  1. 判断是否是预检请求,如果是,进入下一步;否则不做处理(正常的请求,继续后续的处理流程,响应)
  2. 检查当前请求的源是否被允许,如果允许当前请求源则在响应头中添加该源字段,状态码为204 No content,响应体为空,进入下一步
  3. 直接抛出特殊的响应对象(中断后续的处理流程)

总结:如果是预检请求,设置Cors的相关字段,直接返回;否则就进入正常的处理流程。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
/**
 *  @brief 请求前钩子,所有请求进来时都会先执行
 * 如果是跨域的 OPTIONS 预检请求,直接构造响应并抛出,跳过后续中间件/路由逻辑。
 */
void CorsMiddleware::before(HttpRequest& request) 
{
    LOG_DEBUG << "CorsMiddleware::before - Processing request";
    
    // 如果是浏览器发起的预检请求(CORS Preflight)
    if (request.method() == HttpRequest::Method::kOptions) 
    {
        LOG_INFO << "Processing CORS preflight request";
        HttpResponse response;  // 创建预检响应
        handlePreflightRequest(request, response);
        // 直接中断后续处理流程,抛出特殊的响应对象
        throw response;
    }
}

/**
 * @brief 处理 CORS 预检请求(OPTIONS)
 * 会校验 Origin,并返回允许的跨域头
 */
void CorsMiddleware::handlePreflightRequest(const HttpRequest& request, 
                                          HttpResponse& response) 
{   
     // 从请求头获取 Origin
    const std::string& origin = request.getHeader("Origin");
    
    // 校验是否允许跨域
    if (!isOriginAllowed(origin)) 
    {
        LOG_WARN << "Origin not allowed: " << origin;
        response.setStatusCode(HttpResponse::k403Forbidden);
        return;
    }

    // 添加允许的跨域头,对预检请求返回 204 No Content;
    //即响应体为空,对应返回的是options字段的预检请求的响应
    addCorsHeaders(response, origin);
    response.setStatusCode(HttpResponse::k204NoContent);
    LOG_INFO << "Preflight request processed successfully";
}

/**
 * @brief 检查给定 Origin 是否在允许列表里
 * @param origin 来自浏览器请求头的 Origin
 * @return true 如果允许跨域,否则 false
 */
bool CorsMiddleware::isOriginAllowed(const std::string& origin) const 
{
    return config_.allowedOrigins.empty() || 
           std::find(config_.allowedOrigins.begin(), 
                    config_.allowedOrigins.end(), "*") != config_.allowedOrigins.end() ||
           std::find(config_.allowedOrigins.begin(), 
                    config_.allowedOrigins.end(), origin) != config_.allowedOrigins.end();
 }

/**
 * @brief 给响应添加标准的 CORS 头信息
 * @param response 当前响应对象
 * @param origin 本次请求允许的 Origin
 */
void CorsMiddleware::addCorsHeaders(HttpResponse& response, 
                                  const std::string& origin) 
{
    try 
    {   
        // 设置允许的 Origin
        response.addHeader("Access-Control-Allow-Origin", origin);
        
        // 是否允许携带 cookie
        if (config_.allowCredentials) 
        {
            response.addHeader("Access-Control-Allow-Credentials", "true");
        }
        
        // 设置允许的方法列表,以,分割
        if (!config_.allowedMethods.empty()) 
        {
            response.addHeader("Access-Control-Allow-Methods", 
                             join(config_.allowedMethods, ", "));
        }
        
        // 设置允许的自定义请求头列表
        if (!config_.allowedHeaders.empty()) 
        {
            response.addHeader("Access-Control-Allow-Headers", 
                             join(config_.allowedHeaders, ", "));
        }
        // 设置预检结果的缓存时间(单位:秒)
        response.addHeader("Access-Control-Max-Age", 
                          std::to_string(config_.maxAge));
        
        LOG_DEBUG << "CORS headers added successfully";
    } 
    catch (const std::exception& e) 
    {
        LOG_ERROR << "Error adding CORS headers: " << e.what();
    }
}
/**
 * @brief 工具函数:把字符串数组用指定分隔符拼接起来
 * @param strings 字符串列表
 * @param delimiter 分隔符,如 ", "
 * @return 拼接后的字符串
 */
std::string CorsMiddleware::join(const std::vector<std::string>& strings, const std::string& delimiter) 
{
    std::ostringstream result;
    for (size_t i = 0; i < strings.size(); ++i) 
    {
        if (i > 0) result << delimiter;
        result << strings[i];
    }
    return result.str();
}

服务端填充响应

这里的响应指的是正常处理客户端发来的请求后,在最终的响应头中添加CORS的相关信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
/**
 * @brief 请求后钩子,正常请求处理完毕后执行。
 * 不管是否跨域,都会在最终响应头里加上 CORS 相关头信息。
 */
void CorsMiddleware::after(HttpResponse& response) 
{
    LOG_DEBUG << "CorsMiddleware::after - Processing response";
    
    // 直接添加CORS头,简化处理逻辑
    if (!config_.allowedOrigins.empty()) 
    {
        // 如果允许所有源
        if (std::find(config_.allowedOrigins.begin(), config_.allowedOrigins.end(), "*") 
            != config_.allowedOrigins.end()) 
        {
            addCorsHeaders(response, "*");
        } 
        else 
        {
            // 简单处理:只取第一个允许的来源(可以按需改成匹配实际请求来源)
            addCorsHeaders(response, config_.allowedOrigins[0]);
        }
    }
}

抓包分析

image
image
上图展示了请求与响应的抓包分析数据:当客户端向服务器请求加载登录页面时,服务器不仅会在响应体中返回HTML文件,还会在响应头中附带CORS配置信息供浏览器解析。
CORS 详解,终于不用担心跨域问题了

  1. 原理
    1. 基本概念
    2. 简单请求
    3. 非简单请求(预检请求)
  2. 代码实现
    1. 服务器端Cors的关键配置
    2. 服务端解析预检请求
    3. 服务端填充响应
  3. 抓包分析
© 2020 - 2025    Qingyh
由 Hexo 驱动 & 主题 Keep
本站由 提供部署服务
总字数 31k
  1. 原理
    1. 基本概念
    2. 简单请求
    3. 非简单请求(预检请求)
  2. 代码实现
    1. 服务器端Cors的关键配置
    2. 服务端解析预检请求
    3. 服务端填充响应
  3. 抓包分析