如何解决跨域请求中的 CORS 错误

聚沙成塔·每天进步一点点

⭐ 专栏简介

前端入门之旅：探索Web开发的奇妙世界 欢迎来到前端入门之旅！感兴趣的可以订阅本专栏哦！这个专栏是为那些对Web开发感兴趣、刚刚踏入前端领域的朋友们量身打造的。无论你是完全的新手还是有一些基础的开发者，这里都将为你提供一个系统而又亲切的学习平台。在这个专栏中，我们将以问答形式每天更新，为大家呈现精选的前端知识点和常见问题解答。通过问答形式，我们希望能够更直接地回应读者们对于前端技术方面的疑问，并且帮助大家逐步建立起一个扎实的基础。无论是HTML、CSS、JavaScript还是各种常用框架和工具，我们将深入浅出地解释概念，并提供实际案例和练习来巩固所学内容。同时，我们也会分享一些实用技巧和最佳实践，帮助你更好地理解并运用前端开发中的各种技术。

无论你是寻找职业转型、提升技能还是满足个人兴趣，我们都将全力以赴，为你提供最优质的学习资源和支持。让我们一起探索Web开发的奇妙世界吧！加入前端入门之旅，成为一名出色的前端开发者！ 让我们启航前端之旅！！！

如何解决跨域请求中的 CORS 错误

1. 引言

在现代前端开发中，跨域资源共享（Cross-Origin Resource Sharing, CORS）是一种通过设置 HTTP 头来允许或阻止不同源之间的资源访问的机制。浏览器出于安全考虑，默认情况下会阻止跨域请求。本文将详细介绍 CORS 的工作原理、常见的 CORS 错误及其解决方案。

2. 什么是 CORS？

CORS 是一种浏览器安全机制，用于防止跨域资源请求带来的潜在安全风险。浏览器在执行跨域请求时，会检查目标服务器是否允许访问。如果服务器没有正确设置 CORS 头信息，浏览器将阻止跨域请求，并返回 CORS 错误。

2.1 同源策略

CORS 是基于**同源策略（Same-Origin Policy）**的。所谓同源，指的是协议（scheme）、域名（hostname）和端口号（port）三者完全一致。同源策略规定，只有同源的请求才会被允许访问。跨域请求，即不同源的请求，需要通过 CORS 头来管理。

示例：

以下两个 URL 属于同源：

• https://example.com
• https://example.com:443

而以下 URL 则属于跨域请求：

• https://api.example.com（域名不同）
• https://example.com:8080（端口不同）
• http://example.com（协议不同）

2.2 CORS 请求的类型

CORS 请求可以分为以下两种类型：

• 简单请求：GET、POST、HEAD 等方法且没有自定义的 HTTP 头信息，浏览器直接发送请求。
• 预检请求（Preflight Request）：对非简单请求（如 PUT、DELETE 或自定义头信息）会先发送 OPTIONS 请求，确认服务器是否允许再发送实际请求。

3. CORS 错误的原因

浏览器在处理跨域请求时，如果没有收到目标服务器的明确许可（通过 CORS 头信息），会抛出 CORS 错误，常见错误包括：

• Access-Control-Allow-Origin 头缺失或配置错误
• Access-Control-Allow-Methods 头未正确配置允许的 HTTP 方法
• Access-Control-Allow-Headers 头未正确声明自定义的请求头

3.1 常见 CORS 错误示例

浏览器控制台中常见的 CORS 错误信息如下：

Access to XMLHttpRequest at 'https://api.example.com/data' from origin 'https://your-site.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

这类错误通常意味着目标服务器未设置 CORS 头信息或配置不正确，导致浏览器阻止了该请求。

4. 解决 CORS 错误的常见方法

解决 CORS 错误的关键在于正确设置服务器的响应头信息，以允许浏览器发送跨域请求。常见的解决方法有以下几种。

4.1 在服务器端启用 CORS

最直接的解决方案是在服务器端启用 CORS，允许浏览器的跨域请求。不同的服务器框架有不同的设置方法。

4.1.1 Node.js (Express) 中的 CORS 设置

在 Node.js 使用 Express 框架时，可以通过 cors 中间件启用 CORS：

const express = require('express');
const cors = require('cors');
const app = express();

// 启用所有域名的 CORS 请求
app.use(cors());

// 限制指定域名的 CORS 请求
app.use(cors({
  origin: 'https://your-site.com'
}));

app.get('/api/data', (req, res) => {
  res.json({ message: 'CORS enabled' });
});

app.listen(3000, () => {
  console.log('Server running on port 3000');
});

4.1.2 使用 Nginx 配置 CORS

对于使用 Nginx 作为服务器的应用，可以在 Nginx 的配置文件中添加 CORS 头：

server {
    location /api/ {
        add_header 'Access-Control-Allow-Origin' '*';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept';
        
        # 处理预检请求
        if ($request_method = 'OPTIONS') {
            return 204;
        }
    }
}

4.2 使用 JSONP 技术

JSONP（JSON with Padding） 是一种通过 <script> 标签实现跨域请求的技术，适用于 GET 请求。它绕过了浏览器的同源策略，因为 <script> 标签不受同源策略限制。

示例：

客户端发出 JSONP 请求：

<script>
  function handleResponse(data) {
    console.log(data);
  }

  var script = document.createElement('script');
  script.src = 'https://api.example.com/data?callback=handleResponse';
  document.body.appendChild(script);
</script>

服务器返回的数据格式为：

handleResponse({
  "message": "This is a JSONP response"
});

JSONP 的局限性在于它仅支持 GET 请求，且存在一定的安全风险，因为它在执行脚本。

4.3 使用代理服务器

另一种解决 CORS 错误的方式是使用代理服务器。代理服务器充当客户端与目标服务器之间的中介，前端请求代理服务器，代理服务器再向目标服务器发送请求。

4.3.1 配置开发环境代理（如 Webpack）

在开发过程中，可以通过配置 Webpack 开启代理，以避免 CORS 错误：

// webpack.config.js
module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'https://api.example.com',
        changeOrigin: true,
        pathRewrite: { '^/api': '' },
      },
    },
  },
};

在这个例子中，前端代码中的 /api 请求将会被代理到 https://api.example.com，从而避免 CORS 限制。

4.4 利用 CORS 中间件进行跨域处理

在某些情况下，可以通过在服务器端添加中间件或插件来处理跨域问题。例如，在某些云服务或后端框架中，提供了现成的 CORS 插件，简单启用即可。

示例：Django 中的 CORS 处理

在 Django 中，使用 django-cors-headers 库处理跨域请求：

pip install django-cors-headers

在 settings.py 文件中添加配置：

INSTALLED_APPS = [
    ...
    'corsheaders',
    ...
]

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',
    ...
]

# 允许所有域名跨域请求
CORS_ALLOW_ALL_ORIGINS = True

4.5 客户端绕过 CORS 限制

在某些开发调试场景下，开发者可能会选择在客户端临时禁用浏览器的 CORS 限制，这通常不建议在生产环境使用，但可以作为调试工具。

例如，使用 Chrome 浏览器的开发者模式，启动时添加 --disable-web-security 标志，暂时绕过 CORS 保护机制。

5. 总结

CORS 是浏览器为保证安全性而实施的一项重要机制，旨在防止恶意的跨域请求。在跨域请求开发中，解决 CORS 错误的关键是正确配置服务器的响应头。常见的解决方案包括在服务器端启用 CORS、使用 JSONP、代理服务器以及中间件等技术。了解并熟练使用这些方法，可以有效避免 CORS 错误，保证跨域请求的正常工作。

⭐ 写在最后

本专栏适用读者比较广泛，适用于前端初学者；或者没有学过前端对前端有兴趣的伙伴，亦或者是后端同学想在面试过程中能够更好的展示自己拓展一些前端小知识点，所以如果你具备了前端的基础跟着本专栏学习，也是可以很大程度帮助你查漏补缺，由于博主本人是自己再做内容输出，如果文中出现有瑕疵的地方各位可以通过主页的左侧联系我，我们一起进步，与此同时也推荐大家几份专栏，有兴趣的伙伴可以订阅一下：除了下方的专栏外大家也可以到我的主页能看到其他的专栏；

前端小游戏（免费）这份专栏将带你进入一个充满创意和乐趣的世界，通过利用HTML、CSS和JavaScript的基础知识，我们将一起搭建各种有趣的页面小游戏。无论你是初学者还是有一些前端开发经验，这个专栏都适合你。我们会从最基础的知识开始，循序渐进地引导你掌握构建页面游戏所需的技能。通过实际案例和练习，你将学会如何运用HTML来构建页面结构，使用CSS来美化游戏界面，并利用JavaScript为游戏添加交互和动态效果。在这个专栏中，我们将涵盖各种类型的小游戏，包括迷宫游戏、打砖块、贪吃蛇、扫雷、计算器、飞机大战、井字游戏、拼图、迷宫等等。每个项目都会以简洁明了的步骤指导你完成搭建过程，并提供详细解释和代码示例。同时，我们也会分享一些优化技巧和最佳实践，帮助你提升页面性能和用户体验。无论你是想寻找一个有趣的项目来锻炼自己的前端技能，还是对页面游戏开发感兴趣，前端小游戏专栏都会成为你的最佳选择。点击订阅前端小游戏专栏

Vue3通透教程【从零到一】（付费） 欢迎来到Vue3通透教程！这个专栏旨在为大家提供全面的Vue3相关技术知识。如果你有一些Vue2经验,这个专栏都能帮助你掌握Vue3的核心概念和使用方法。我们将从零开始,循序渐进地引导你构建一个完整的Vue应用程序。通过实际案例和练习,你将学会如何使用Vue3的模板语法、组件化开发、状态管理、路由等功能。我们还会介绍一些高级特性,如Composition API和Teleport等,帮助你更好地理解和应用Vue3的新特性。在这个专栏中,我们将以简洁明了的步骤指导你完成每个项目,并提供详细解释和示例代码。同时,我们也会分享一些Vue3开发中常见的问题和解决方案,帮助你克服困难并提升开发效率。无论你是想深入学习Vue3或者需要一个全面的指南来构建前端项目,Vue3通透教程专栏都会成为你不可或缺的资源。点击订阅Vue3通透教程【从零到一】专栏

TypeScript入门指南（免费） 是一个旨在帮助大家快速入门并掌握TypeScript相关技术的专栏。通过简洁明了的语言和丰富的示例代码，我们将深入讲解TypeScript的基本概念、语法和特性。无论您是初学者还是有一定经验的开发者，都能在这里找到适合自己的学习路径。从类型注解、接口、类等核心特性到模块化开发、工具配置以及与常见前端框架的集成，我们将全面覆盖各个方面。通过阅读本专栏，您将能够提升JavaScript代码的可靠性和可维护性，并为自己的项目提供更好的代码质量和开发效率。让我们一起踏上这个精彩而富有挑战性的TypeScript之旅吧！点击订阅TypeScript入门指南专栏