关于浏览器跨域的一些知识点

本文总结了浏览器中 Axios 和 Fetch 发起跨域请求时,Cookie 与 token 的发送策略、CORS 控制机制、常见问题与正确配置方法。


一、Axios 与 Fetch 的跨域凭证设置

🔸 Axios 的 withCredentials

js 复制代码
axios.get('https://example.com/api', {
  withCredentials: true
})
  • 默认值:false
  • 设为 true 后:
    • 可以在跨域请求中发送 Cookie
    • 需要后端响应头:Access-Control-Allow-Credentials: true

🔸 Fetch 的 credentials

js 复制代码
fetch('https://example.com/api', {
  credentials: 'include'
})
  • 可选值:

    说明
    'omit' 默认值,不带 Cookie
    'same-origin' 同源带 Cookie,跨域不带
    'include' 不论是否跨域都带 Cookie

🔸 后端响应头要求

若希望前端携带 Cookie,必须在响应中添加:

http 复制代码
Access-Control-Allow-Origin: https://前端域名
Access-Control-Allow-Credentials: true
  • ⚠️ Access-Control-Allow-Origin 不能为 "*"

二、Cookie 是否自动携带?支持跨域吗?

场景 是否自动携带 Cookie
同源 ✅ 是
子域间 ✅ 是(要求 Cookie 设置了 Domain
完全跨域 ❌ 否(需手动配置)

要想跨域带 Cookie,需满足:

  • 前端:
    • Axios:withCredentials: true
    • Fetch:credentials: 'include'
  • 后端响应:
    • Access-Control-Allow-Origin: 指定域名
    • Access-Control-Allow-Credentials: true
  • Cookie 设置:SameSite=None; Secure

三、Authorization Header 是否也受跨域控制?

✅ 结论:

  • Authorization 是开发者设置的 Header,不像 Cookie 是浏览器自动带的。
  • 属于 "非简单请求" ,会触发 预检请求(OPTIONS)
  • 服务端需在 CORS 响应中允许该 Header,否则跨域失败。

🔸 示例:携带 Authorization 的 Fetch 请求

js 复制代码
fetch('https://api.example.com/user', {
  headers: {
    Authorization: 'Bearer xxx'
  }
})

浏览器会自动发送一条预检请求:

http 复制代码
OPTIONS /user
Access-Control-Request-Headers: authorization

❌ 若服务端未允许该 Header(错误设置):

http 复制代码
Access-Control-Allow-Headers: x-token

浏览器将拦截,控制台报错:

Access to fetch at ... from origin ... has been blocked by CORS policy


✅ 正确设置方式:

http 复制代码
Access-Control-Allow-Headers: Authorization

或支持多个 Header:

http 复制代码
Access-Control-Allow-Headers: Authorization, x-token, Content-Type

建议写成 Authorization 首字母大写,保持规范。


四、总结对比表格

项目 Cookie 自定义header
设置方式 浏览器自动管理(响应 Set-Cookie) 开发者手动设置
默认跨域发送 ❌ 否 ✅ 是(但需通过预检)
是否触发预检 ✅ 会 ✅ 会
是否需后端响应头允许 Access-Control-Allow-Credentials Access-Control-Allow-Headers: Authorization

五、什么时候会触发预检(preflight)?

在跨域的情况下 如果请求满足下面任一条件,就会触发 CORS 预检请求(OPTIONS)

使用了自定义请求头,如:

  • Authorization
  • X-Token
  • X-Custom-Header

使用了非简单的 HTTP 方法,如 PUTDELETEPATCH

使用了非标准的 Content-Type,如 application/json(除了默认的 text/plainmultipart/form-dataapplication/x-www-form-urlencoded

相关推荐
丨我是张先生丨3 分钟前
日语单词 Web Page
前端·css·css3
禅思院2 小时前
AI对话前端从入门到崩溃:一个长对话引发的五层优化战争【引子】
前端·面试·架构
TrisighT2 小时前
Electron 鸿蒙 PC 上点外链唤醒应用,我试了 6 种写法只有 1 种能跑
前端·electron·harmonyos
天才熊猫君3 小时前
配置与数据分离:一种可视化搭建的属性编辑方案
前端·javascript
林希_Rachel_傻希希3 小时前
web性能之相关路径——AI总结
前端·javascript·面试
竹林8183 小时前
用 wagmi v2 踩坑两天,我终于搞懂了多链钱包切换在 DeFi 前端中的正确姿势
前端·javascript
用户2136610035723 小时前
Vue项目搜索功能与面包屑导航
前端·javascript
星栈3 小时前
LiveView 的实时通信,爽是爽,但 PubSub 和广播也最容易把自己绕晕
前端·前端框架·elixir
用户2930750976693 小时前
告别关键词匹配,拥抱向量语义 —— RAG 搜索从零到一
前端
独孤留白4 小时前
从C到Rust:告别 C 的"指针 + 长度"手动模式
前端·rust