启用 CORS 的服务器不拒绝请求

Question

我正在尝试将 express Cors 与我的 resitfy 服务器一起使用，它似乎并没有拒绝来自其他 ips 的请求。我在本地工作，所以我尝试将来源设置为随机公共 ip，但我的所有请求仍在通过

这是我的路线：

module.exports = function(app) {
    var user = require('./controllers/userController');
    var cors = require('cors');
    var corsOptions = require('./cors.json');


    app.post('/auth/signup', cors(corsOptions),user.createUser);
    app.post('/auth/login', cors(corsOptions), user.validateUser);
    app.post('/auth/generateKeys', cors(corsOptions), user.generateKeys);
    app.post('/auth/generateToken', user.generateToken);
};

这是我设置了随机 ip 的 cors.json 文件：

{
    "origin": "http://172.16.12.123",
    "optionsSuccessStatus": 200,
}

在路线上设置了 cors 后，我可以在邮递员中看到以下内容，但请求仍在处理中？我希望得到拒绝访问的响应。

访问控制允许来源→http://172.16.12.123

Answer 1

CORS 不会阻止任何人向您的应用程序或公开的 API URL 发送 GET 或 POST 请求。

相反，它向 Web 浏览器指示允许 AJAX 请求从执行的域发送到此服务器。

但只有从域执行的 AJAX 请求是受 CORS 控制的。在网络浏览器中输入 URL 不会激活 CORS：它不是防火墙。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

事件顺序为：

1. 域 A 在用户浏览器上执行 AJAX 以请求域 B 上的 API URL

2. 用户的浏览器向目标域 B 发送基本主请求，并检查域 A 是否允许 CORS

3. 如果允许，则执行 AJAX 请求，否则返回 null

Answer 2

CORS 配置本身不会导致服务器拒绝请求。您不能仅通过 CORS 配置导致服务器端的请求阻塞。

当您使用 CORS 支持配置服务器时，唯一的不同之处在于发送 Access-Control-Allow-Origin 响应标头和其他 CORS 响应标头。就是这样。

跨域限制的实际执行仅由浏览器完成，而不是由服务器完成。

因此，无论您对服务器进行何种服务器端 CORS 配置，服务器仍会继续接受来自所有客户端和来源的请求，否则它会；换句话说，来自所有来源的所有客户端仍然会继续从服务器获取响应，就像它们在其他情况下一样。

但是浏览器只会将来自跨域请求的响应暴露给在特定来源运行的前端 JavaScript 代码，前提是请求被发送到的服务器通过使用 @ 响应来选择允许请求987654322@ 允许该来源的标头。

这是您使用 CORS 配置唯一可以做的事情。您不能仅通过执行任何服务器端 CORS 配置来使服务器仅接受和响应来自特定来源的请求。为此，您需要使用除 CORS 配置之外的其他内容。