概述

CORS 通过预检请求（OPTIONS）与响应头协商跨源访问权限。合理设置 Access-Control-Allow-Origin、Allow-Methods/Headers 与 Max-Age 可降低延迟与负载；凭证请求需使用精确来源而非 *。

关键要点（已验证）

• 预检缓存：Access-Control-Max-Age 缓存预检结果，减少重复 OPTIONS（来源）
• 凭证：当 credentials 为 include 时必须使用精确 Allow-Origin，并返回 Allow-Credentials: true（来源）
• Vary：对返回 Allow-Origin 的响应设置 Vary: Origin，避免缓存污染（来源）

服务器示例

Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Methods: GET, POST, OPTIONS
Access-Control-Allow-Headers: Content-Type, Authorization
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 86400
Vary: Origin