CORS 最佳实践：预检缓存与凭证请求

# 概述 CORS 通过预检请求（OPTIONS）与响应头协商跨源访问权限。合理设置 `Access-Control-Allow-Origin`、`Allow-Methods/Headers` 与 `Max-Age` 可降低延迟与负载；凭证请求需使用精确来源而非 `*`。 ## 关键要点（已验证） - 预检缓存：`Access-Control-Max-Age` 缓存预检结果，减少重复 OPTIONS（来源） - 凭证：当 `credentials` 为 `include` 时必须使用精确 `Allow-Origin`，并返回 `Allow-Credentials: true`（来源） - Vary：对返回 `Allow-Origin` 的响应设置 `Vary: Origin`，避免缓存污染（来源） ## 服务器示例 ``` Access-Control-Allow-Origin: https://app.example.com Access-Control-Allow-Methods: GET, POST, OPTIONS Access-Control-Allow-Headers: Content-Type, Authorization Access-Control-Allow-Credentials: true Access-Control-Max-Age: 86400 Vary: Origin ```