如何在 Node.js 服务器间正确配置 CORS 实现跨子域资源访问

本文详解如何通过 Express 的 cors 中间件精准配置 Access-Control-Allow-Origin,解决 example.comsub.example.com 之间因跨域限制导致的音频文件(如 WAV)请求失败问题。 本文详解如何通过 express 的 cors 中间件精准配置 `access-control-allow-origin`,解决 `example.com` 与 `sub.example.com` 之间因跨域限制导致的音频文件(如 wav)请求失败问题。在前后端分离或微服务架构中,同一主域下的不同子域(如 example.comsub.example.com)虽属同一家族,但仍被浏览器视为不同源(origin),触发 CORS(跨域资源共享)校验。你遇到的错误:Access to XMLHttpRequest at 'https://sub.example.com/app/listen/1.wav' from origin 'https://www.example.com' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present...根本原因在于:CORS 响应头必须由被请求方(即资源提供者)显式声明。也就是说,sub.example.com 服务器必须在响应 GET /app/listen/1.wav 时返回合法的 Access-Control-Allow-Origin: https://www.example.com,浏览器才允许前端 JavaScript 读取该响应。你当前的配置存在两个关键问题:回调函数无效:origin: (origin, callback) => callback(null, true) 实际上等价于 origin: true,它会忽略传入的 origin,并无条件允许所有来源------但 cors 模块在 credentials: true 启用时*禁止使用通配符 `或true` 作为 origin 值**,否则将静默失效(不设置响应头),导致 CORS 报错。配置位置错位:CORS 中间件必须部署在提供资源的服务器上(即 sub.example.com),而非调用方(example.com)。example.com 侧配置 CORS 对解决该跨域请求完全无效。? 正确做法如下:? 步骤一:在 sub.example.com 服务器(资源提供方)启用精确 CORS 策略const express = require('express');const cors = require('cors');const app = express();// ? 允许指定来源(注意:必须与前端实际 origin 完全一致,含协议、子域、端口)app.use(cors({ origin: 'https://www.example.com', // ← 关键:此处是请求发起方的 origin methods: 'GET', 'HEAD', 'OPTIONS', // 仅需支持 GET 即可访问静态文件 credentials: true // 若需携带 cookie 或认证头,才设为 true;本例中通常不需要}));// 静态文件中间件(确保在 cors 之后)app.use('/app/listen', express.static('./public/audio'));app.listen(3000);? 提示:https://www.example.comhttps://example.com 是不同 origin,请严格匹配前端页面的实际地址(可通过浏览器地址栏或 document.origin 确认)。? 步骤二:如需双向通信,再在 example.com 服务器配置(非必需)若 example.com 也需对外提供 API 给 sub.example.com 调用,则在其服务端做对称配置:// 在 example.com 服务器中(仅当它也需被 sub.example.com 调用时才需)app.use(cors({ origin: 'https://sub.example.com', methods: 'GET', 'POST'}));?? 注意事项与最佳实践*避免滥用 `origin: ''**:虽然origin: '*'可快速测试,但它与credentials: true` 不兼容。若需鉴权(如带 Cookie 或 Bearer Token),必须指定明确 origin 列表。 通义听悟 阿里云通义听悟是聚焦音视频内容的工作学习AI助手,依托大模型,帮助用户记录、整理和分析音视频内容,体验用大模型做音视频笔记、整理会议记录。

相关推荐
三川69810 小时前
Tkinter库的学习记录06-变量类别
python
wenying_4432374410 小时前
Python脚本—1.提取压缩包中的pdf文件
python·ai编程
_Jimmy_10 小时前
SQLAlchemy 复杂 SQL 执行指南与模板库
python·sql
六个九十度10 小时前
用python脚本访问被网关隔离的嵌入式设备
开发语言·python
千维百策66610 小时前
SRE 中如何消除琐务:提升工程效率与服务可靠性的实践方法
数据库
卓怡学长10 小时前
w266基于spring boot + vue 圣地延安美食乐享系统
java·数据库·vue.js·spring boot·spring·intellij-idea
GEO_ai_zhijian10 小时前
饮料生产线质量检测系统供应商哪家强
大数据·python
名不经传的养虾人11 小时前
从0到1:企业级AI项目迭代日记 Vol.65|最危险的故障不是崩溃,是悄悄换掉了正确答案
数据库·人工智能·ai编程·ai-agent·企业ai
程序员佳佳11 小时前
模型网关灰度不是调百分比:把放量、观测和回滚做成账本
java·数据库·人工智能·redis·gpt·aigc·embedding
绩隐金11 小时前
用AI开了本小说 九折归潮
数据库