关于浏览器跨域的一些知识点

本文总结了浏览器中 Axios 和 Fetch 发起跨域请求时,Cookie 与 token 的发送策略、CORS 控制机制、常见问题与正确配置方法。


一、Axios 与 Fetch 的跨域凭证设置

🔸 Axios 的 withCredentials

js 复制代码
axios.get('https://example.com/api', {
  withCredentials: true
})
  • 默认值:false
  • 设为 true 后:
    • 可以在跨域请求中发送 Cookie
    • 需要后端响应头:Access-Control-Allow-Credentials: true

🔸 Fetch 的 credentials

js 复制代码
fetch('https://example.com/api', {
  credentials: 'include'
})
  • 可选值:

    说明
    'omit' 默认值,不带 Cookie
    'same-origin' 同源带 Cookie,跨域不带
    'include' 不论是否跨域都带 Cookie

🔸 后端响应头要求

若希望前端携带 Cookie,必须在响应中添加:

http 复制代码
Access-Control-Allow-Origin: https://前端域名
Access-Control-Allow-Credentials: true
  • ⚠️ Access-Control-Allow-Origin 不能为 "*"

二、Cookie 是否自动携带?支持跨域吗?

场景 是否自动携带 Cookie
同源 ✅ 是
子域间 ✅ 是(要求 Cookie 设置了 Domain
完全跨域 ❌ 否(需手动配置)

要想跨域带 Cookie,需满足:

  • 前端:
    • Axios:withCredentials: true
    • Fetch:credentials: 'include'
  • 后端响应:
    • Access-Control-Allow-Origin: 指定域名
    • Access-Control-Allow-Credentials: true
  • Cookie 设置:SameSite=None; Secure

三、Authorization Header 是否也受跨域控制?

✅ 结论:

  • Authorization 是开发者设置的 Header,不像 Cookie 是浏览器自动带的。
  • 属于 "非简单请求" ,会触发 预检请求(OPTIONS)
  • 服务端需在 CORS 响应中允许该 Header,否则跨域失败。

🔸 示例:携带 Authorization 的 Fetch 请求

js 复制代码
fetch('https://api.example.com/user', {
  headers: {
    Authorization: 'Bearer xxx'
  }
})

浏览器会自动发送一条预检请求:

http 复制代码
OPTIONS /user
Access-Control-Request-Headers: authorization

❌ 若服务端未允许该 Header(错误设置):

http 复制代码
Access-Control-Allow-Headers: x-token

浏览器将拦截,控制台报错:

Access to fetch at ... from origin ... has been blocked by CORS policy


✅ 正确设置方式:

http 复制代码
Access-Control-Allow-Headers: Authorization

或支持多个 Header:

http 复制代码
Access-Control-Allow-Headers: Authorization, x-token, Content-Type

建议写成 Authorization 首字母大写,保持规范。


四、总结对比表格

项目 Cookie 自定义header
设置方式 浏览器自动管理(响应 Set-Cookie) 开发者手动设置
默认跨域发送 ❌ 否 ✅ 是(但需通过预检)
是否触发预检 ✅ 会 ✅ 会
是否需后端响应头允许 Access-Control-Allow-Credentials Access-Control-Allow-Headers: Authorization

五、什么时候会触发预检(preflight)?

在跨域的情况下 如果请求满足下面任一条件,就会触发 CORS 预检请求(OPTIONS)

使用了自定义请求头,如:

  • Authorization
  • X-Token
  • X-Custom-Header

使用了非简单的 HTTP 方法,如 PUTDELETEPATCH

使用了非标准的 Content-Type,如 application/json(除了默认的 text/plainmultipart/form-dataapplication/x-www-form-urlencoded

相关推荐
胡gh2 小时前
页面卡成PPT?重排重绘惹的祸!依旧性能优化
前端·javascript·面试
言兴2 小时前
# 深度解析 ECharts:从零到一构建企业级数据可视化看板
前端·javascript·面试
山有木兮木有枝_2 小时前
TailWind CSS
前端·css·postcss
烛阴3 小时前
TypeScript 的“读心术”:让类型在代码中“流动”起来
前端·javascript·typescript
杨荧3 小时前
基于Python的农作物病虫害防治网站 Python+Django+Vue.js
大数据·前端·vue.js·爬虫·python
Moment4 小时前
毕业一年了,分享一下我的四个开源项目!😊😊😊
前端·后端·开源
程序视点5 小时前
Escrcpy 3.0投屏控制软件使用教程:无线/有线连接+虚拟显示功能详解
前端·后端
silent_missile5 小时前
element-plus穿梭框transfer的调整
前端·javascript·vue.js
专注VB编程开发20年5 小时前
OpenXml、NPOI、EPPlus、Spire.Office组件对EXCEL ole对象附件的支持
前端·.net·excel·spire.office·npoi·openxml·spire.excel
古蓬莱掌管玉米的神5 小时前
coze娱乐ai换脸
前端