同源策略与CORS：跨域资源共享与安全权衡

同源策略与CORS：跨域资源共享与安全权衡概览同源策略保护浏览器中的敏感数据。CORS 通过响应头在受控条件下允许跨域访问。技术参数（已验证）预检请求：非简单请求需通过 `OPTIONS` 预检由服务端决定是否允许。凭证：`Access-Control-Allow-Credentials` 开启凭证时不能与 `*` 通配符来源同时使用。缓存：预检结果可受 `Access-Control-Max-Age` 控制，影响后续请求的开销与行为。实战清单精确配置允许来源与头/方法，避免过度放开。对携带凭证的请求进行严格来源控制与日志审计。