不要打cors

让我们谈谈CORS - 每个人最喜欢的（或最不喜欢的）网络安全功能。我最近一直在为它搏斗，这是我写博客文章的提示！

CORS的核心概念很简单：防止跨原始代码执行。如果css-tricks.com尝试从any-other-website.com获取JavaScript，则浏览器默认情况下将其阻止。控制台错误？是的，“不允许。”

例外？ Target网站向标题明确授予许可。您的域被列入白色，或者通配符可以访问。有细微差别（前面的凭证，凭证等），但是MDN文档很好地涵盖了这些文档。

我对COR的头痛最大的头痛源于其看似不一致的行为。两个请求成功了，第三个失败 - 可重复但令人困惑。 （也许是带有半个头标头的负载平衡器？谁知道！）或代理突然停止工作。我已经失去了我讨论CORS问题的次数，很容易超过100。

最近的CORS遇到：

• 一个流行的“在6分钟内学习CORS”视频（10,000个赞！）突出了一个常见的解决方案： npm install cors 。
• 您必须使用正确的标头配置服务器。我在CloudFlare工人的视频中进行了证明（尽管Cloudflare工人提供了一个很酷的跨围产基旁路）。
• 杰克·阿奇博尔德（Jake Archibald）的出色“如何在科尔斯（Cors）获胜”文章，并带有游乐场。
• 存在浏览器扩展名（Firefox，Chrome）以注入CORS标题 - 可疑的解决方法，但可以理解。
• 我以前关于轻松代理任何内容（包括第三方JavaScript）的文章将其制作第一方。评论正确地指出了这种绕过CORS保护 - 除非您完全控制第三方资源，否则这是有风险的。

以上是不要打cors的详细内容。更多信息请关注PHP中文网其他相关文章！