一、跨域问题本质与安全机制

跨域请求是浏览器基于同源策略（Same-Origin Policy）实施的安全限制，当协议、域名或端口任一不同时即触发跨域限制。这一机制虽保障了用户数据安全，却给现代前后端分离架构带来挑战。典型场景包括：

• 前端静态资源部署在CDN，API服务部署在独立域名
• 微服务架构中不同服务通过不同端口对外提供服务
• 开发环境本地调试时前端端口与后端服务端口不一致

浏览器通过预检请求（Preflight Request）机制强化安全控制，对于非简单请求（如含自定义头部或非GET/POST方法），会先发送OPTIONS请求验证服务器是否允许实际请求。

二、CORS方案详解与实践

1. 服务端CORS配置核心要素

CORS（跨域资源共享）通过响应头实现跨域控制，关键头部包括：

• Access-Control-Allow-Origin：允许的源列表（生产环境建议精确指定，开发环境可临时用*）
• Access-Control-Allow-Methods：允许的HTTP方法
• Access-Control-Allow-Headers：允许的请求头
• Access-Control-Allow-Credentials：是否允许携带凭证（需与前端withCredentials配合）
• Access-Control-Max-Age：预检请求缓存时间

2. Node.js Express实现示例

const express = require('express');
const cors = require('cors');
const app = express();
// 精确配置示例
const corsOptions = {
  origin: 'https://app.example.com',
  methods: ['GET', 'POST', 'PUT', 'DELETE', 'OPTIONS'],
  credentials: true,
  allowedHeaders: ['Content-Type', 'Authorization', 'X-Requested-With'],
  maxAge: 86400 // 24小时缓存
};
app.use(cors(corsOptions));
// 路由处理
app.get('/api/data', (req, res) => {
  res.json({ message: 'CORS配置成功' });
});
app.listen(3000, () => console.log('Server running on port 3000'));

3. Nginx反向代理配置

生产环境更推荐通过Nginx统一处理CORS，避免每个服务单独配置：

server {
    listen 80;
    server_name api.example.com;
    location / {
        if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Allow-Origin' 'https://app.example.com';
            add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,PUT,DELETE';
            add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type';
            add_header 'Access-Control-Allow-Credentials' 'true';
            add_header 'Access-Control-Max-Age' 1728000;
            return 204;
        }
        proxy_pass http://backend_cluster;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        # 确保后端响应不包含冲突的CORS头
        proxy_hide_header 'Access-Control-Allow-Origin';
        # 添加最终响应头
        add_header 'Access-Control-Allow-Origin' 'https://app.example.com';
        add_header 'Access-Control-Allow-Credentials' 'true';
    }
}

三、其他跨域解决方案对比

1. JSONP方案（仅限GET请求）

通过<script>标签的src属性实现跨域，利用回调函数处理响应：

// 前端代码
function handleResponse(data) {
  console.log('Received:', data);
}
const script = document.createElement('script');
script.src = 'https://api.example.com/data?callback=handleResponse';
document.body.appendChild(script);
// 服务端响应
// handleResponse({ message: "JSONP响应" })

局限性：仅支持GET请求，存在XSS安全风险，已逐渐被CORS取代。

2. 代理服务器方案

开发环境可通过webpack-dev-server或vite配置代理：

// vite.config.js示例
export default defineConfig({
  server: {
    proxy: {
      '/api': {
        target: 'http://backend.example.com',
        changeOrigin: true,
        rewrite: path => path.replace(/^\/api/, '')
      }
    }
  }
});

生产环境可使用Nginx或专用API网关实现统一代理。

3. postMessage跨文档通信

适用于跨域iframe或窗口间通信：

// 发送方
window.postMessage({ type: 'AUTH_TOKEN', value: 'abc123' }, 'https://target.example.com');
// 接收方
window.addEventListener('message', (event) => {
  if (event.origin === 'https://sender.example.com') {
    console.log('Received:', event.data);
  }
});

四、生产环境最佳实践

1. 精确配置CORS：避免使用通配符*，明确指定允许的源
2. 安全头强化：结合Content-Security-Policy等头部提升安全性
3. 监控与告警：对跨域请求失败进行监控，及时发现配置问题
4. 文档化规范：制定团队统一的跨域配置标准
5. 自动化测试：在CI/CD流程中加入跨域场景测试

五、常见问题排查指南

1. 预检请求失败：检查OPTIONS方法是否允许，头部配置是否完整
2. 凭证未携带：确保前后端withCredentials和Access-Control-Allow-Credentials同时设置
3. 缓存问题：开发环境禁用浏览器缓存或调整Access-Control-Max-Age
4. Nginx配置冲突：检查是否有多个CORS配置叠加导致异常

通过系统掌握这些解决方案，开发者可以灵活应对各种跨域场景，在保障安全性的同时实现高效的前后端协作。实际项目中应根据具体架构和安全要求选择最适合的方案组合。