CORS 被认为是不好的做法吗？

Question

我们正在一个 Intranet 中集成两个系统，使用 CORS 作为跨两个域进行 AJAX 调用的一种方式。

这被认为是不好的做法吗？ CORS 通常被认为是不好的做法吗？

Answer 1

不，CORS 不被视为不好的做法。这是进行跨域 AJAX 调用的标准方式（对于支持它的浏览器）。请记住，目前，根据您的具体要求，可能存在很多陷阱使其跨浏览器工作。例如，如果您希望能够设置跨域 cookie，请准备好使用 Internet Explorer。

所以基本上，如果您可以让 CORS 满足您的需求，请继续使用它。

Answer 2

CORS 是不错的做法。在所有主流浏览器上都是supported，并且越来越多的 API 支持它。事实上，如果你有一个不在防火墙后面的公共资源，it is safe 将Access-Control-Allow-Origin: * 标头放在资源上。

但是对于 CORS 在服务器上的角色存在一些混淆。 CORS 应该只规定特定资源的跨域策略。换句话说，CORS 标头仅用于指示是否允许来自不同来源的请求。我认为混淆是因为服务器有时也使用 CORS 来规定安全策略。 CORS 不是安全性。如果服务器具有需要保护某些用户的资源，则仅依靠 Origin 标头来强制执行此操作是不安全的。您的服务器需要其他一些安全机制（例如 OAuth2 和 CSRF 保护）。

Answer 3

CORS 预检请求会导致一些延迟开销。更多here