CORS配置到底该怎么写才安全?
我在本地开发时调后端接口老是被CORS拦住,试过在Nginx里加add_header 'Access-Control-Allow-Origin' '*';,虽然能通了,但听说这样不安全。那到底应该怎么配才既能让前端正常请求,又不会把接口暴露给所有人?
后端是用Node写的,现在临时用了这个配置:
app.use((req, res, next) => {
res.header('Access-Control-Allow-Origin', '*');
res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
next();
});但上线前肯定得改,只是不确定该改成什么值,求指点!
- 1
回答
24浏览
Nginx配置CORS后前端还是报跨域错误怎么办?
我在本地用React调后端API,后端部署在另一台服务器上。已经在Nginx里加了CORS头,但浏览器还是报跨域错误,不知道哪里没配对。 这是我的请求代码: fetch('https://a...
- 2
回答
81浏览
CORS配置能防御CSRF攻击吗?应该如何正确设置?
我在用Spring Boot配置CORS时发现,设置了allowedOrigins为可信域名,但测试时用其他域名发起带token的POST请求居然成功了,这不还是存在CSRF漏洞吗? 后端配置是这样写...
- 2
回答
68浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
- 2
回答
568浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
- 1
回答
24浏览
前端用代理解决CORS问题,为什么本地开发可以线上却不行?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,接口能正常调用。但部署到线上后,请求还是被浏览器拦了,报错 CORS header 'Access-Control-Allow-O...
- 1
回答
18浏览
CORS 中 Access-Control-Allow-Methods 设置不生效怎么办?
我在前端用 fetch 发了个 DELETE 请求,但浏览器报 CORS 错误,说方法不允许。后端明明设置了 Access-Control-Allow-Methods: GET, POST, PUT,...
- 1
回答
21浏览
前端用代理解决CORS问题,为什么本地开发能行上线就挂了?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,请求第三方 API 没问题。但部署到线上后,直接报跨域错误,明明线上也配了 Nginx 反向代理,怎么就不生效了? 本地配置是这样...
- 2
回答
27浏览
Nginx配置CORS后前端还是跨域,哪里出问题了?
我在本地用Vue开发,请求后端API一直报跨域错误,明明已经在Nginx里加了CORS头,但浏览器还是拦着不让过,到底是哪没配对? 我试过在Nginx的location块里加add_header,也重...
- 1
回答
23浏览
CORS白名单配置后前端还是跨域,咋回事?
我后端已经加了CORS白名单,只允许我们自己的域名访问,但本地开发时用 localhost:8080 还是报跨域错误,是不是哪里没配对? 我在 Vue 里是这样发请求的: <script set...
- 1
回答
52浏览
子域名间CORS配置为什么还是被拦截?
我在做子域名间的数据交互时遇到了CORS问题。主域名是example.com,后端接口在api.example.com,前端在www.example.com发起请求。按照教程设置了Access-Con...
*换成具体的域名。最常见的写法是这样的:
如果前端请求需要带cookie或者authorization头,得再加一个配置:
注意哈,用credentials的时候,Origin 绝对不能用
*,必须指定具体域名,前端那边也要改成credentials: 'include'。开发环境就把 localhost 加进去,生产环境换成你实际的域名就行。复制过去试试,有问题再调。