Node.js 中 cors 依赖详解

`cors` 是一个用于处理跨域资源共享(Cross - Origin Resource Sharing,CORS)问题的 Node.js 中间件,在前后端分离开发的项目中经常会用到。

一、跨域问题概述

在浏览器中,出于安全考虑,遵循同源策略,即浏览器只允许访问同源(协议、域名、端口都相同)的资源。当浏览器向不同源的服务器发起请求时,就会受到浏览器的跨域限制,导致请求被阻止。CORS 是一种现代的跨域解决方案,允许服务器在响应头中设置一些字段,告诉浏览器该请求是被允许的。

1. 安装 `cors`

bash 复制代码
# 使用 npm 安装

npm install cors

2. 基本使用

将 `cors` 中间件应用到整个 Express 应用,这意味着所有路由都允许跨域请求。当客户端(如浏览器)发起对 `/data` 路由的请求时,服务器会在响应头中添加必要的 CORS 相关字段,从而允许跨域访问。

javascript 复制代码
const express = require("express");

const cors = require("cors");

const app = express();

// 使用 cors 中间件

app.use(cors());

app.get("/data", (req, res) => {

  res.json({ message: "This is some data from the server" });

});

const port = 3000;

app.listen(port, () => {

  console.log(`Server running on port ${port}`);

});

二、配置选项

`cors` 中间件提供了多种配置选项,以满足不同的跨域需求。

1. `origin`

用于指定允许跨域请求的源(origin)。可以是一个字符串、一个数组,或者是一个函数。

javascript 复制代码
// 允许单个源

const corsOptions = {

  origin: "http://example.com",

};

app.use(cors(corsOptions));

// 允许多个源

const corsOptionsMultiple = {

  origin: ["http://example1.com", "http://example2.com"],

};

app.use(cors(corsOptionsMultiple));

// 使用函数动态配置 origin

const corsOptionsFunction = {

  origin: (origin, callback) => {

    const allowedOrigins = ["http://example.com", "http://test.com"];

    if (!origin || allowedOrigins.includes(origin)) {

      callback(null, true);

    } else {

      callback(new Error("Not allowed by CORS"));

    }

  },

};

app.use(cors(corsOptionsFunction));

2. `methods`

用于指定允许的 HTTP 请求方法,默认值为 `'GET,HEAD,PUT,PATCH,POST,DELETE'`。

javascript 复制代码
const corsOptionsMethods = {

  methods: "GET,POST",

};

app.use(cors(corsOptionsMethods));

3. `allowedHeaders`

用于指定允许的请求头,默认情况下,浏览器会自动处理一些常见的请求头。如果需要自定义请求头,可以使用该选项。

javascript 复制代码
const corsOptionsHeaders = {

  allowedHeaders: "Content-Type,Authorization",

};

app.use(cors(corsOptionsHeaders));

4. `exposedHeaders`

用于指定允许客户端访问的响应头。默认情况下,浏览器只能访问一些简单的响应头,通过该选项可以暴露更多的响应头给客户端。

javascript 复制代码
const corsOptionsExposed = {

  exposedHeaders: "X-Custom-Header",

};

app.use(cors(corsOptionsExposed));

5. `credentials`

一个布尔值,指示是否允许客户端在跨域请求中携带凭证(如 cookies、HTTP 认证等)。默认值为 `false`。

javascript 复制代码
const corsOptionsCredentials = {

  credentials: true,

};

app.use(cors(corsOptionsCredentials));

6. 针对特定路由使用 `cors`

除了将 `cors` 应用到整个应用,还可以针对特定的路由使用 `cors` 中间件。

javascript 复制代码
const express = require("express");

const cors = require("cors");

const app = express();

const corsOptions = {

  origin: "http://example.com",

};

// 只允许特定路由跨域

app.get("/data", cors(corsOptions), (req, res) => {

  res.json({ message: "This is some data from the server" });

});

const port = 3000;

app.listen(port, () => {

  console.log(`Server running on port ${port}`);

});
相关推荐
还是鼠鼠8 小时前
Node.js全局生效的中间件
javascript·vscode·中间件·node.js·json·express
TimeDoor11 小时前
在 Windows上安装 Node.js 开发环境的完整指南
node.js·web开发
Summer_Xu12 小时前
模拟 Koa 中间件机制与洋葱模型
前端·设计模式·node.js
Misnearch16 小时前
node.js版本管理
node.js
转转技术团队16 小时前
代码变更暗藏危机?代码影响范围分析为你保驾护航
前端·javascript·node.js
Mintopia16 小时前
Node.js高级实战:自定义流与Pipeline的高效数据处理 ——从字母生成器到文件管道的深度解析
前端·javascript·node.js
你的人类朋友20 小时前
解释一下Node.js的『阻塞』现象,并回答:为什么会阻塞?什么情况下会阻塞?
javascript·后端·node.js
疾风铸境1 天前
Qt5.14.2+mingw64编译OpenCV3.4.14一次成功记录
前端·webpack·node.js
云只上2 天前
前端界面在线excel编辑器 。node编写post接口获取文件流,使用传参替换表格内容展示、前后端一把梭。
前端·javascript·node.js·excel
BillKu2 天前
node.js、npm相关知识
前端·npm·node.js