CORS与SameSite Cookie策略：跨域与CSRF防护

概览

• CORS 控制跨源访问与凭证携带；SameSite Cookie 限制跨站携带，协同 CSRF 防护策略。
• 对高价值接口实施严格来源校验与令牌验证。

技术参数（已验证）

• CORS 响应：`Access-Control-Allow-Origin` 精确到白名单；`Allow-Credentials` 与 `Allow-Headers/Methods`；预检响应 `Access-Control-Max-Age`。
• 凭证：启用凭证时不得使用通配 `*`；需配合精确 Origin。
• SameSite：`Strict`/`Lax`/`None; Secure`；跨站需要 `None` 且必须 `Secure`。
• 校验：对状态改变请求校验 `Origin` 或 `Referer`；令牌策略含 `csrf` token 与一次性校验。
• 例外与调试：在开发与第三方嵌入场景维护例外清单与风险评估。

实战清单

• 建立跨域白名单与凭证策略；拒绝不必要的跨站调用。
• 统一 SameSite 与 Secure 基线；在登录与支付路径强化校验。
• 在网关与后端记录跨域失败与来源，提供审计与告警。