CORS 安全指南

同源策略(SOP)

浏览器默认阻止跨域请求。两个 URL 的协议、主机和端口全部相同时才视为同源。

CORS 头部参考

Access-Control-Allow-Origin指定允许的来源。使用凭据时绝不使用 *。
Access-Control-Allow-Methods列出允许的 HTTP 方法
Access-Control-Allow-Headers列出允许的请求头
Access-Control-Allow-Credentials仅在需要凭据(Cookie)时设为 true
Access-Control-Max-Age缓存预检响应(秒)

相关工具推荐

🔒 SSL 证书检查 检查网站 SSL 证书状态与有效期 🧮 密码熵计算 计算密码的信息熵和破解难度 🛡 XSS 参考 XSS 测试载荷与防御方案参考 🗃 SQL 注入参考 SQL 注入测试与防御参考手册 🛡 CSP 生成 生成 Content Security Policy 策略 🔑 OAuth 构建 构建 OAuth 2.0 授权请求参数 🔍 敏感信息检测 检测文本中的密钥、密码等敏感信息 🔒 哈希算法参考 常见哈希算法速查与安全性参考 🔐 SSL/TLS 参考 SSL/TLS 协议版本与密码套件参考 🎫 JWT 最佳实践 JWT 安全使用指南与常见错误 限流模式参考 令牌桶、滑动窗口等限流算法参考 🔍 依赖审计参考 npm/pip/go 依赖安全审计命令