CORS 策略与跨域治理（2025）

CORS 策略与跨域治理（2025）CORS 通过响应头控制跨域资源共享，需要精细化允许范围与方法。一、策略与头部核心头：`Access-Control-Allow-Origin`/`Methods`/`Headers`/`Credentials`。允许列表：仅允许受控来源与方法与头部组合。二、预检与缓存预检请求：处理 `OPTIONS` 请求并校验来源与方法。缓存：`Access-Control-Max-Age` 合理设置降低预检开销。三、Cookie 与 SameSiteSameSite：跨站场景需 `None` 且 `Secure`；否则用 `Lax/Strict`。凭证传递：`Credentials` 仅在必要时开放并校验。注意事项关键词、分类与描述与正文一致；策略与机制为通用与可验证实践。与网关与鉴权策略协同统一。