跳至主要内容
短.be

CORS

Cross-Origin Resource Sharing 的缩写,一种允许网页从不同域名请求资源的安全机制。

2025年8月16日 · 约 1 分钟阅读

安全

CORS (Cross-Origin Resource Sharing,跨源资源共享) 是一种基于 HTTP 头的安全机制,允许服务器声明哪些外部域名可以访问其资源。浏览器的同源策略默认阻止网页从不同域名请求资源,CORS 提供了一种安全的方式来放宽这一限制。

CORS 的工作原理是:当浏览器发起跨域请求时,会在请求头中添加 Origin 字段;服务器检查 Origin 后,在响应头中添加 Access-Control-Allow-Origin 字段来声明允许的来源。对于复杂请求,浏览器会先发送 OPTIONS 预检请求。欢迎参阅在 Amazon 搜索 Web 安全书籍

在 URL 缩短服务中,CORS 配置对于 API 端点至关重要。如果服务提供 JavaScript API 供第三方网站调用,需要正确配置 CORS 头以允许合法的跨域请求,同时阻止未授权的访问。

CORS 配置的常见错误包括:使用通配符 (*) 允许所有来源 (存在安全风险)、忘记处理预检请求、以及在凭证请求中使用通配符。在 Amazon 搜索 API 安全书籍讨论了这些安全配置。

分享到 XHatena

这篇文章对您有帮助吗?

相关术语

CSP

Content Security Policy 的缩写,通过 HTTP 头限制页面可以加载的资源来源,防止 XSS 等攻击。

XSS

Cross-Site Scripting 的缩写,通过在网页中注入恶意脚本来攻击用户的安全漏洞。

HTTPS

HTTP 协议的安全版本,通过 SSL/TLS 加密保护浏览器与服务器之间的通信数据。

SQL 注入

通过在用户输入中嵌入恶意 SQL 代码来操纵数据库的攻击手法。

HSTS

HTTP Strict Transport Security 的缩写,强制浏览器只通过 HTTPS 连接访问网站。

Referrer Policy

HTTP 头,控制在导航和请求中发送多少 Referrer 信息,平衡功能需求和隐私保护。

相关文章

网址缩短 API 使用指南 - 通过程序生成短链接

解说如何通过程序使用网址缩短服务的 API。介绍请求格式、响应结构和实现示例。

自建网址缩短服务的方法 - 自主运营的优势与搭建步骤

解说在自有服务器或云环境中搭建和运营网址缩短服务的方法。介绍开源工具的比较和无服务器架构的实现步骤。

短链接安全指南 - 安全使用的最佳实践

基于 OWASP 重定向漏洞指南解说短链接的安全对策。涵盖钓鱼攻击模式和 CSP 头的关系。

常见问题

CORS 错误发生的原因是什么?
因为浏览器阻止了对不同源(域名、端口、协议)的请求。可以通过在服务器端设置 Access-Control-Allow-Origin 头来解决。
什么是 CORS 预检请求?
浏览器在发送正式请求前用 OPTIONS 方法发送的确认请求。用于事先确认服务器允许的方法和头信息,确保安全性。

想要创建短链接吗?

免费缩短网址