---

title: CORS 与 Cookie 策略（SameSite、Secure、HttpOnly、跨域预检）

keywords:

• CORS
• SameSite
• Cookie
• 预检
• Credentials

description: 系统梳理 CORS 响应头与 Cookie 策略，明确 SameSite/Secure/HttpOnly 的要求与跨域预检流程，并提供验证方法与注意事项。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

CORS 与 Cookie 策略（SameSite、Secure、HttpOnly、跨域预检）

概述

跨域资源共享（CORS）与 Cookie 安全策略直接影响登录与跨站请求。正确配置可避免安全与兼容问题。

关键实践与参数

• 允许来源：Access-Control-Allow-Origin: https://app.example.com（不可与 credentials 同时使用 *）。
• 凭据：Access-Control-Allow-Credentials: true；前端需 fetch(url, { credentials: 'include' })。
• 允许方法/头：Access-Control-Allow-Methods、Access-Control-Allow-Headers 与 Access-Control-Max-Age（预检缓存）。
• Cookie 策略：
• SameSite=None; Secure 才允许跨站携带；HttpOnly 防脚本访问；Path/Domain 精确限定。

配置示例

Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Max-Age: 600

验证方法

• DevTools 检查请求与响应头；预检 OPTIONS 命中与缓存。
• 在跨域场景测试 Cookie 是否随请求携带且受 SameSite/Secure 约束。
• 自动化合规检测：禁止 * 与 credentials 并存。

注意事项

• 不要为所有路径全局放宽；按接口白名单配置。
• 多子域场景可通过统一顶级域与子域策略；谨慎使用广域 Domain。
• 跨站场景应结合 CSRF 防护与 token 绑定。