Press⌘+Kto search
IP: 获取中...
为效率而生, Just tools.goodssoft.com
CORS配置生成器
可视化生成跨域资源共享(CORS)配置,支持多种服务器环境,提供预设模板
CORS配置选项
Content-Type
Authorization
秒 (预检请求缓存)
配置代码
add_header 'Access-Control-Allow-Origin' 'https://example.com';
add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE';
add_header 'Access-Control-Allow-Headers' '*';
add_header 'Access-Control-Expose-Headers' '';
add_header 'Access-Control-Max-Age' '86400';
if ($request_method = 'OPTIONS') {
return 204;
}HTTP响应头
Access-Control-Allow-MethodsGET, POST, PUT, DELETE
Access-Control-Allow-Headers*
Access-Control-Max-Age86400
预检请求示例
OPTIONS请求
OPTIONS /api/resource HTTP/1.1
Host: api.example.com
Origin: https://example.com
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type响应
HTTP/1.1 204 No Content
Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: *
Access-Control-Max-Age: 86400关于CORS
什么是CORS?
CORS(Cross-Origin Resource Sharing)是一种基于HTTP头的机制,允许服务器标识除了它自己以外的源,浏览器应该允许从这些源加载资源。
简单请求 vs 预检请求
- 简单请求:GET、HEAD、POST,只允许简单头部
- 预检请求:先发送OPTIONS请求检查权限
- PUT、DELETE、自定义头部会触发预检
常见错误
- No 'Access-Control-Allow-Origin' header
- CORS policy: credentials mode is 'include'
- 预检请求失败
- 允许凭证时不能使用通配符*
安全建议
- 生产环境不要使用通配符*
- 明确指定允许的源
- 仅允许必要的HTTP方法
- 谨慎使用 allow-credentials