前端跨域问题解决Access to XMLHttpRequest at xxx from has been blocked by CORS policy

在前端开发中，跨域资源共享（CORS）是一个常见的问题。它涉及到浏览器安全机制，防止网页从一个域获取资源时被另一个域阻止。错误信息如"Access to XMLHttpRequest at 'xxx' from origin 'has been blocked by CORS policy'"是典型的跨域问题。本文将详细解释CORS的工作原理，并提供几种解决跨域问题的方法。

一、CORS的基本原理

CORS（Cross-Origin Resource Sharing）是一种浏览器技术，它允许服务器通过设置HTTP头来决定哪些来源可以访问资源。CORS头包括：

• Access-Control-Allow-Origin：指定哪些域可以访问资源。
• Access-Control-Allow-Methods：指定允许的HTTP方法（如GET, POST）。
• Access-Control-Allow-Headers：指定允许的HTTP头。
• Access-Control-Allow-Credentials：指示是否可以发送Cookie。

二、解决跨域问题的方法

1. 服务器设置CORS头

在服务器端，通过设置适当的CORS头来允许跨域访问。

示例：在Node.js Express服务器中设置CORS头

const express = require('express');
const app = express();

app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*'); // 允许所有来源
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE'); // 允许的方法
  res.header('Access-Control-Allow-Headers', 'Content-Type'); // 允许的头
  next();
});

app.get('/api/data', (req, res) => {
  res.json({ message: 'This is CORS-enabled for all origins!' });
});

app.listen(3000, () => {
  console.log('CORS-enabled web server listening on port 3000');
});
​

注意 ：Access-Control-Allow-Origin: * 允许所有来源访问资源，在生产环境中应慎用，可以改为特定域名。

2. JSONP（JSON with Padding）

JSONP是跨域请求的一种传统方法，但仅限于GET请求。它通过动态插入script标签来实现。

示例：

<script>
  function handleResponse(response) {
    console.log('Data:', response);
  }
</script>
<script src="https://example.com/api/data?callback=handleResponse"></script>
​

服务器端（Node.js Express）：

app.get('/api/data', (req, res) => {
  const callback = req.query.callback;
  const data = { message: 'This is a JSONP response' };
  res.send(`${callback}(${JSON.stringify(data)})`);
});
​

3. 使用代理服务器

通过设置代理服务器，将请求转发到目标服务器，避免直接跨域。

示例：在Vue CLI中配置代理

// vue.config.js
module.exports = {
  devServer: {
    proxy: {
      '/api': {
        target: 'https://example.com',
        changeOrigin: true,
        pathRewrite: {
          '^/api': ''
        }
      }
    }
  }
};
​

4. 在Nginx中配置CORS

通过Nginx反向代理设置CORS头。

示例：

server {
    listen 80;
    server_name example.com;

    location /api/ {
        proxy_pass http://backend_server;
        add_header Access-Control-Allow-Origin *;
        add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
        add_header Access-Control-Allow-Headers 'Content-Type, Authorization';
        add_header Access-Control-Allow-Credentials true;
    }
}
​

5. 使用浏览器插件

在开发过程中，可以使用浏览器插件来临时解决CORS问题，如CORS Unblock。

三、CORS的常见配置错误及解决方法

1. Access-Control-Allow-Origin设置不正确

错误 ：服务器未设置 Access-Control-Allow-Origin或设置不正确。

解决 ：确保服务器正确设置 Access-Control-Allow-Origin头。

res.header('Access-Control-Allow-Origin', 'https://your-allowed-origin.com');
​

2. 预检请求（OPTIONS）失败

错误：服务器未处理预检请求，导致跨域请求失败。

解决：确保服务器正确处理OPTIONS请求。

app.options('/api/data', (req, res) => {
  res.header('Access-Control-Allow-Origin', 'https://your-allowed-origin.com');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  res.send();
});
​

3. Access-Control-Allow-Credentials设置不正确

错误 ：Access-Control-Allow-Credentials设置为 true，但 Access-Control-Allow-Origin设置为 *。

解决 ：当设置 Access-Control-Allow-Credentials为 true时，Access-Control-Allow-Origin不能为 *，必须为具体的域名。

res.header('Access-Control-Allow-Origin', 'https://your-allowed-origin.com');
res.header('Access-Control-Allow-Credentials', 'true');