Access-Control-Allow-Origin如何给CORS设置多域名

最新推荐文章于 2025-06-19 21:20:32 发布

音仔小瓜皮

最新推荐文章于 2025-06-19 21:20:32 发布

阅读量5.8k

点赞数 1

CC 4.0 BY-SA版权

分类专栏：工程化 node.js学习笔记文章标签：前端

本文链接：https://blog.csdn.net/weixin_57208584/article/details/134249361

node.js学习笔记同时被 2 个专栏收录

7 篇文章

订阅专栏

工程化

5 篇文章

订阅专栏

本文解释了CORS中Access-Control-Allow-Origin的正确使用方法，避免通配符带来的安全风险，并强调了动态配置和Vary字段在处理跨域缓存中的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

CORS 通过控制 Access-Control-Allow-Origin 控制哪些域名可以共享资源，取值如下

Access-Control-Allow-Origin: <origin> | *

其中 * 代表所有域名，origin 代表指定特定域名

但是 * 作为通配符来说，直接变成对所有域名公开，非常的不安全。那如何设置特定的多个域名？

根据我们惯性思维，可能会想出如下的方法进行多域名配置：

//1、通过逗号分隔各个域名【错误！】

res.header('Access-Control-Allow-Origin','http://localhost:3000,http://localhost:3001');

//2、在头部添加重复字段【错误！】

res.header('Access-Control-Allow-Origin','http://localhost:3000');
res.header('Access-Control-Allow-Origin','http://localhost:3001');

但这些都是错误的！会导致所有的origin都对跨域请求无效！

正确的做法，写出代码检测Origin，给Access-Control-Allow-Origin进行动态配置，代码如下：

// 获取 Origin 请求头
const requestOrigin = ctx.get('Origin');

// 如果没有，则跳过；或者不符合白名单条件
if (!requestOrigin || ...) {
  return await next();
}

// 设置响应头
ctx.set('Access-Control-Allow-Origin', requestOrigin)

但是特别注意：缓存/CDN对响应头字段的影响，可能会导致上述的错误情况2

因此，响应现支持字段Vary，其可以对报文中某个字段的缓存进行控制

Vary: * 所有字段都不进行缓存

Vary:<header1> , <header2>... 某些字段进行缓存

因此我们可以设置Vary:Origin，让服务器不调用缓存中的Origin字段，每次都自动检测，代码如下：

// 获取 Origin 请求头
const requestOrigin = ctx.get('Origin');

ctx.set('Vary', 'Origin')

// 如果没有，则跳过；或者不符合白名单条件
if (!requestOrigin || ...) {
  return await next();
}

// 设置响应头
ctx.set('Access-Control-Allow-Origin', requestOrigin)