"CORS 预检缓存：Access-Control-Max-Age 的取舍与风险"

YBB 9 阅读 0 评论 0 点赞

概述预检（OPTIONS）用于验证跨源请求方法与头部。`Access-Control-Max-Age` 决定预检结果的缓存时长，可降低频繁预检开销，但不宜设置过长以免放大误配风险。示例：Nginx/Node 配置location /api/ { if ($request_method = OPTIONS) { add_header Access-Control-Allow-Origin "https://app.example"; add_header Access-Control-Allow-Methods "GET, POST, PUT"; add_header Access-Control-Allow-Headers "Content-Type, Authorization"; add_header Access-Control-Max-Age 600; return 204; } add_header Access-Control-Allow-Origin "https://app.example"; proxy_pass http://backend; } // Express 中处理预检 app.options('/api/*', (req, res) => { res.set({ 'Access-Control-Allow-Origin': 'https://app.example', 'Access-Control-Allow-Methods': 'GET,POST,PUT', 'Access-Control-Allow-Headers': 'Content-Type, Authorization', 'Access-Control-Max-Age': '600' }) res.sendStatus(204) }) 工程建议精准白名单：仅允许必要来源/方法/头；动态场景以令牌或签名鉴权为主。缓存时长：根据风险与变更频率设置中等 TTL（如 10–30 分钟）；重大变更前缩短 TTL。监控与告警：记录跨源失败与预检命中；避免误配置长期生效。参考与验证MDN CORS 预检说明：https://developer.mozilla.org/docs/Web/HTTP/CORS#preflighted_requestsWHATWG Fetch 规范：https://fetch.spec.whatwg.org/web.dev CORS 与安全实践：https://web.dev/articles/cors

点赞(0) 打赏

本文分类：安全
本文标签：" ors 预检缓存 ess ontrol max age的取舍风险
浏览次数：9 次浏览
发布日期：2026-02-14 03:02:19
本文链接：https://www.ybb.press/security/6133.html

上一篇 > Cookie安全前缀治理（__Host/__Secure）最佳实践
下一篇 > CORS细粒度策略与预检缓存最佳实践

"CORS 预检缓存：Access-Control-Max-Age 的取舍与风险"

评论列表共有 0 条评论

发表评论取消回复

&quot;CORS 预检缓存：Access-Control-Max-Age 的取舍与风险&quot;

&quot;Fetch Metadata 防护：Sec-Fetch 系列头的资源隔离策略&quot;

&quot;Fetch Metadata 请求头：Sec-Fetch-Site/Mode/Dest 的安全防护&quot;

&quot;Fenced Frames：跨站内容隔离与安全渲染&quot;

&quot;FCP 深入解析：First Contentful Paint 的定位与优化&quot;

评论列表 共有 0 条评论

发表评论 取消回复

"CORS 预检缓存：Access-Control-Max-Age 的取舍与风险"

"Fetch Metadata 防护：Sec-Fetch 系列头的资源隔离策略"

"Fetch Metadata 请求头：Sec-Fetch-Site/Mode/Dest 的安全防护"

"Fenced Frames：跨站内容隔离与安全渲染"

"FCP 深入解析：First Contentful Paint 的定位与优化"

评论列表共有 0 条评论

发表评论取消回复