使用 Node/Express 限制 CORS 来源不起作用

Question

我正在尝试使用 express.js CORS package 将 CORS 请求的来源限制为每个路由的一个特定域，如下所示：

const express = require('express');
const cors = require('cors');

const port = process.env.PORT || 3000;

let app = express();

app.get('/', cors({origin: 'http://example.com'}), (req, res, next) => {
  res.sendStatus(200);
});

app.post('/', cors({origin: 'http://whatever.com'}) (req, res, next) => {
  res.sendStatus(200);
});

app.listen(port, () => {
  console.log(`Started on port ${port}`);
});

但是，这似乎没有任何效果，因为我可以在任何域中使用 GET 和 POST。然后我尝试使用以下方法将所有路线限制为一个单一来源，但遇到了相同的结果：

app.use(cors({origin: 'http://example.com'}));

我在本地主机上的开发环境和 Heroku 上的生产环境中都遇到了这种情况。知道我错过了什么吗？

Answer 1

如果您的服务器正在发送Access-Control-Allow-Origin: http://example.com 响应标头，那么您实际上已经正确配置了它。

无论您从哪个来源发出请求，服务器都会返回 200 响应是预期的行为——即使对于那些来自配置的 http://example.com 以外的来源也是如此。

CORS 设置不会导致服务器阻止来自任何客户端的请求。

相反，如果服务器以 Access-Control-Allow-Origin: http://example.com 响应来自未在 http://example.com 运行的 Web 应用中的 JavaScript 代码的客户端请求，则 浏览器 阻止该 JavaScript 代码能够访问响应。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS 提供更多详细信息。

基本上它的工作方式是从服务器端，除了它发送的响应标头的不同之外，没有任何行为发生变化。所以服务器会像其他方式一样接收请求，并且会像其他方式一样发送响应。

然后浏览器将像其他情况一样接收响应。您将能够在浏览器开发工具中看到响应并在那里进行检查。但这并不意味着浏览器会将响应暴露给您的客户端 JavaScript 代码。

相反，浏览器会检查来自服务器的 Access-Control-Allow-Origin 响应标头的值，并且只有在服务器表示应该允许的情况下才会将响应跨域暴露给您的源：您的浏览器会检查 @ 的值987654327@ 与您的实际来源相反，如果它完全匹配或值为 * 以允许任何来源，则只有这样浏览器才允许您的客户端 JavaScript 代码访问响应。