CORS 与 Cookie 策略（SameSite、Secure、HttpOnly、跨域预检）

CORS 与 Cookie 策略（SameSite、Secure、HttpOnly、跨域预检）概述跨域资源共享（CORS）与 Cookie 安全策略直接影响登录与跨站请求。正确配置可避免安全与兼容问题。关键实践与参数允许来源：`Access-Control-Allow-Origin: https://app.example.com`（不可与 `credentials` 同时使用 `*`）。凭据：`Access-Control-Allow-Credentials: true`；前端需 `fetch(url, { credentials: 'include' })`。允许方法/头：`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers` 与 `Access-Control-Max-Age`（预检缓存）。Cookie 策略：`SameSite=None; Secure` 才允许跨站携带；`HttpOnly` 防脚本访问；`Path`/`Domain` 精确限定。配置示例Access-Control-Allow-Origin: https://app.example.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET, POST Access-Control-Allow-Headers: Content-Type, Authorization Access-Control-Max-Age: 600 验证方法DevTools 检查请求与响应头；预检 `OPTIONS` 命中与缓存。在跨域场景测试 Cookie 是否随请求携带且受 `SameSite`/`Secure` 约束。自动化合规检测：禁止 `*` 与 `credentials` 并存。注意事项不要为所有路径全局放宽；按接口白名单配置。多子域场景可通过统一顶级域与子域策略；谨慎使用广域 `Domain`。跨站场景应结合 CSRF 防护与 token 绑定。