服务器设置跨域时-CORS-如何解决跨域资源共享-问题

服务器设置跨域

在现代Web开发中,跨域资源共享（CORS）是一个不可忽视的重要概念，由于浏览器的同源策略（Same-Origin Policy），当前页面的脚本无法直接访问不同源的资源，这既保障了用户数据安全，也带来了前后端交互的挑战，本文将详细讲解服务器设置跨域的原理、方法及最佳实践，帮助开发者高效解决跨域问题。

理解跨域与同源策略

同源策略要求协议、域名、端口三者完全相同，否则即视为跨域。 的前端页面无法直接请求 的数据，即使它们属于同一主域，浏览器默认阻止跨域请求，以防止恶意站点窃取用户数据，但实际开发中，前后端分离架构、第三方API调用等场景均需合法跨域，此时CORS机制应运而生。

CORS通过服务器返回特定的HTTP头信息,告知浏览器哪些跨域请求被允许，服务器可灵活配置允许的源、HTTP方法、请求头等，在安全与便利间取得平衡。

服务器设置跨域的核心方法

不同服务器环境（如Nginx、Apache、Node.js）配置CORS的方式略有差异，但核心逻辑一致：通过响应头明确授权跨域请求，以下是常见服务器的配置示例：

Nginx配置

Nginx作为高性能反向代理,可通过 add_header 指令添加CORS相关头信息，以下为典型配置：

location / {add_header 'Access-Control-Allow-Origin' '*';add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';add_header 'Access-Control-Max-Age' '1728000';add_header 'Access-Control-Allow-Credentials' 'true';if ($request_method = 'OPTIONS') {return 204;}}

Apache配置

Apache通过文件或 httpd.conf 配置CORS：

Header set access-Control-Allow-Origin "*"Header set Access-Control-Allow-Methods "GET, POST, OPTIONS, PUT, DELETE"Header set Access-Control-Allow-Headers "Content-Type, Authorization"Header set Access-Control-Max-Age "86400"

需确保 mod_headers 模块已启用。

Node.js（Express框架）

Express可通过中间件快速实现CORS：

const express = require('express');const cors = require('cors');const app = express();app.use(cors()); // 允许所有跨域请求// 或精细配置app.use(cors({origin: 'https://example.com',methods: ['GET', 'POST'],allowedHeaders: ['Content-Type'],credentials: true}));app.listen(3000, () => console.log('Server running on port 3000'));

中间件简化了配置，支持动态设置源、方法等参数。

处理预检请求（Preflight Request）

当请求包含自定义头、使用非简单方法（如PUT、DELETE）或Content-Type为 application/json 时，浏览器会先发送OPTIONS预检请求，以确认服务器是否允许实际请求，服务器需正确响应OPTIONS请求，返回 204 No Content 状态码及CORS头信息，Nginx配置中已包含OPTIONS处理逻辑，而Node.js中中间件会自动处理预检请求。

安全性与最佳实践

常见问题与解决方案

服务器设置跨域是Web开发中的基础技能,需结合业务需求与安全要求灵活配置，无论是通过Nginx、Apache还是Node.js，核心均在于正确设置CORS响应头，理解预检请求机制、遵循安全最佳实践，能有效避免跨域问题，提升开发效率，随着前后端分离架构的普及，掌握CORS配置将助力开发者构建更安全、更高效的Web应用。

---

怎么共享文件？

网络时代，资源共享是一个非常重要的概念。 同事之间，共享必要的资料，可以有效提高工作效率。 朋友之间，共享经典好资源，可以避免好友频繁要求传文件的打扰。 什么？你一直用QQ给同事、朋友传文件？不会共享？那下面的知识该好好补一下了。 局域网内共享文件第一步：设置工作组要想和对方共享文件夹必须确保双方处在同一个共作组中。 如图1，进入“网上邻居”，单击左侧的“设置家庭或小型办公网络”。 图1 设置局域网在打开的对话框中，按照提示操作，如图2，设置“连接共享”。 图2 连接共享如图3，填写“计算机描述”。 图3 计算机描述如图4，填写“工作组名称”等相关项目。 图4 工作组名称如图5，选择“启用文件和打印机共享”后即可。 图5 启用文件和打印机共享小提示：“工作组名”一定要确认双方设置为相同的名称。 第二步：共享文件夹如图6，打开资源管理器，右击需要共享的文件夹，选择“共享和安全”命令。 图6 共享和安全如图7，在打开的对话框中，勾选“在网络上共享这个文件夹”，单击“确定”按钮即可。 图7 在网络上共享文件小提示：如果希望对方对共享文件夹拥有“写”权限，勾选“允许网络用户更改我的文件”复选框即可。 现在同一共组中的用户，在网上邻居中就可以访问共享文件夹了。 图8 访问共享文件小提示：如果在所列的共享文件夹中找不到“目标文件夹”的话，如图8，可以单击“查看工作组计算机”，在打开的窗口中，找到目标计算机，双击进入就可查看目标计算机共享出来的文件夹了。 图9 查看工作组计算机“域”模式管理上面提到的是局域网内用户较少的情况下常用的“组”管理模式，但用户较多时，常常就会采用另一种“域”模式来管理。 无论采用哪一种模式，共享文件夹的操作都类似。 如图10，只是在“域”模式下，常会出现其他用户不能正常访问共享文件夹的情况。 图10 域模式出现这种情况时，最简单的解决办法便是在共享文件夹端，开启“Guest”帐户。 当不能解决问题时，可增加一帐户并设置密码。 需要访问的用户只要使用增加的“用户名”和“密码”便可访问共享文件夹了。 还有一种方法便是在“安全”选项卡中增加域中需要共享文件夹的帐户，并授权访问。 第一步：取消简单文件共享在“文件夹选项”对话框中，如图11，去除“使用简单文件共享”选项的选择。 图11 使用简单文件共享第二步：添加访问帐户如果只想让某一用户访问，如图12，选择特定的帐户名称，如果想让域内所有用户都可以访问，添加“everyone”帐户即可。 图12 添加“everyone”帐户小提示：使用此方法，需要分区为NTFS格式。

局域网内怎么进入别人的本地磁盘？

一、首先启用guest来宾帐户； 二、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里，“从网络访问此计算机”中加入guest帐户，而“拒绝从网络访问这台计算机”中删除guest帐户； 三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享（推荐）”前的勾； 四、设置共享文件夹；五、控制面板→管理工具→本地安全策略→本地策略→安全选项里，把“网络访问：本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”（可选，此项设置可去除访问时要求输入密码的对话框，也可视情况设为“经典-本地用户以自己的身份验证”）； 六、右击“我的电脑”→“属性”→“计算机名”，该选项卡中有没有出现你的局域网工作组名称，如“work”等。 然后单击“网络 ID”按钮，开始“网络标识向导”：单击“下一步”，选择“本机是商业网络的一部分，用它连接到其他工作着的计算机”；单击“下一步”，选择“公司使用没有域的网络”；单击“下一步”按钮，然后输入你的局域网的工作组名，如“work”，再次单击“下一步”按钮，最后单击“完成”按钮完成设置。 一般经过以上步骤，基本可以解决。 如果不行，再往下看： 七、检查本地连接是否被禁用，右击“本地连接”→“启用”；八、关闭网络防火墙；九、检查是否启用了域，是否加入了该域并检查域设置；十、检查是否关闭了server服务；十一、检查本地连接IP、子网掩码、网关及DNS设置是否有误；十二、“本地连接”→属性→常规，检查是否安装了“Microsoft网络文件和打印机共享”、“Microsoft网络客户端”以及TCP/IP协议；

十三、某些局域网游戏和软件须安装NetBEUI协议。

十四、作为网络浏览服务器的电脑由于病毒、配置低运行慢以及死机等原因导致网络上的计算机列表得不到更新，使得某些机器有时候在网上邻居中找不到。 解决办法：最简单的办法是重启各种网络设备和电脑，或者关闭个别有上述问题的电脑上的网络浏览服务器功能,十五、给系统打上补丁。 WinXP访问网上邻居的速度较慢，这是WinXP的一个Bug，当我们打开网上邻居时，操作系统首先会从计划任务中进行查找，因此就大大影响了访问的速度，除非您已经安装了SP1补丁才不会存在这个问题。 可以手工解决这一问题。 从注册表中找到“\HKEY_LOCAL_MacHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace”，这里有一个名为“{D-4C6A-11CF-8D87-00AA0060F5BF}”的子键，该子键指向“计划任务（Scheduled Tasks）”，将它直接删除即可。 十六、先卸载网卡驱动，重启再重装；十七、硬件问题，检查网卡、网线、集线器、路由器等，在检查之前，最好先重启一下网络设备(集线器、交换机、路由器)看能否解决；十八、病毒(木马)原因。 升级病毒库安全模式下全盘杀毒

ASP.NET 跨域共享Session的解决思路

1.首先简要说说 的session机制，当客户端向服务端发生会话时（不是访问了网站某页面就一定产生了会话），服务端会写一个cookie到客户端，这个cookie保存着sessionid ，名字为“_SessionID” ,在下一次发生向服务端的请求时这个cookie会包含在请求头中，这个cookie仅仅包含了sessionid ，其他信息以（某种形式）保存在服务端并被sessionid标识。2.因为我们要实现两个域的session共享，我们采用的方式是session的值保存在SqlServer数据库中(至于为什么要保存在SqlServer数据库中，这里不做探讨)，如何用数据库保存session的资料可以很轻易的在博客园中找到，子秋的博客中有记表ASPStateTempApplications有两个字段 ，一个appid ，一个appname ，一个应用程序相当于一个网站，这个表中的数据会在网站第一次被访问并产生session时添加，一个网站会产生一条记录，ASPStateTempSessions 表才是真正保存会话信息的表，有个二进制数据类型的字段用来保存session数据，还有创建时间过期时间的字段，当然少不了主键标识字段，也就是sessionid， 注意了！这个sessionid 的保存会在真正的sessionid上加个后缀 ，后缀是相应的ASPStateTempSessions表中应用程序id的十六进制表示形式，这样的话，如果两个应用程序不小心产生了同样的sessionid 也不会出现问题，因为还有后缀标识。4.问题出来了，如果让两个域（既是两个应用程序，两个网站）产生同样的sessionid 并且让应用程序名一样，不就可以共享session了吗？这样一来又有问题了？a.会话sessionid是保存在名字为“_SessionId”的cookie中的，我们知道cookie是不能跨域的，但是我们有方法让他能够夸二级多级域名，注意：主域名还是不能跨的方法就是该cookie的主机名，具体代码如：HttpCookieco=[_SessionId];=;(co);这一步只让sessionid 一样了呀，还差一步，就是让应用程序名一样b.如何让应用程序名一样呢 ，我们分析ASPStateTempApplications这张表中的记录是如何的来的，上面也有简单提到，具体分析后，发现记录是通过存储过程TempGetAppID插入的，我们将其改为：代码setANSI_NULLSONsetQUOTED_IDENTIFIERONgoALTERPROCEDURE[dbo].[TempGetAppID]@appNametAppName,@appIdintOUTPUTASSET@appName=fejerry--LOWER(@appName)SET@appId=NULLSELECT@appId=AppIdFROM[ASPState]=@appNameIF@appIdISNULLBEGINBEGINTRANSELECT@appId=AppIdFROM[ASPState](TABLOCKX)WHEREAppName=@appNameIF@appIdISNULLBEGINEXECGetHashCode@appName,@appIdOUTPUTINSERT[ASPState](@appId,@appName)IF@@ERROR=2627BEGINDECLARE@dupApptAppNameSELECT@dupApp=RTRIM(AppName)FROM[ASPState]=@appIdRAISERROR(SQLsessionstatefatalerror:hash-codecollisionbetweenapplications%sand%1stapplicationtoresolvetheproblem.,18,1,@appName,@dupApp)ENDENDCOMMITENDRETURN0给一个固定的应用程序名，不管什么网站，只要以当前SqlServer作为session存储机制，都会记录为同一个应用程序，换句话说，就是表ASPStateTempApplications将只会有一条记录。

5。 我这人喜欢钻牛角尖，这条记录是什么时候插入到数据库的呢？于是我手动删除了这条记录，但是即使删除了，仍然不影响应用程序的使用，不影响session的共享，于是我又把应用程序（网站）重启了， 对网站产生第一个会话后，我又去观察表ASPStateTempApplications，奇怪了，仍然一条记录都没有。

于是很自然的我把iis给重启了， 再对网站产生第一个会话后，又去观察表ASPStateTempApplications，出现了，出现了，终于出现了一条新的记录。 总结：表ASPStateTempApplications中的记录是在应用程序产生第一个会话时执行存储过程TempGetAppID产生的，（并且大胆猜测这条记录的信息也保存在iis中，依据是删掉表中记录也无影响）。