CORS 预检缓存：Access-Control-Max-Age 的取舍与风险

5 阅读 0 评论 0 点赞

概述预检（OPTIONS）用于验证跨源请求方法与头部。`Access-Control-Max-Age` 决定预检结果的缓存时长，可降低频繁预检开销，但不宜设置过长以免放大误配风险。示例：Nginx/Node 配置 ```nginx location /api/ { if ($request_method = OPTIONS) { add_header Access-Control-Allow-Origin "https://app.example"; add_header Access-Control-Allow-Methods "GET, POST, PUT"; add_header Access-Control-Allow-Headers "Content-Type, Authorization"; add_header Access-Control-Max-Age 600; return 204; } add_header Access-Control-Allow-Origin "https://app.example"; proxy_pass http://backend; } ``` ```js // Express 中处理预检 app.options('/api/*', (req, res) => { res.set({ 'Access-Control-Allow-Origin': 'https://app.example', 'Access-Control-Allow-Methods': 'GET,POST,PUT', 'Access-Control-Allow-Headers': 'Content-Type, Authorization', 'Access-Control-Max-Age': '600' }) res.sendStatus(204) }) ``` 工程建议 - 精准白名单：仅允许必要来源/方法/头；动态场景以令牌或签名鉴权为主。 - 缓存时长：根据风险与变更频率设置中等 TTL（如 10–30 分钟）；重大变更前缩短 TTL。 - 监控与告警：记录跨源失败与预检命中；避免误配置长期生效。参考与验证 - MDN CORS 预检说明：https://developer.mozilla.org/docs/Web/HTTP/CORS#preflighted_requests - WHATWG Fetch 规范：https://fetch.spec.whatwg.org/ - web.dev CORS 与安全实践：https://web.dev/articles/cors

点赞(0) 打赏

本文分类：网络安全
本文标签：无
浏览次数：5 次浏览
发布日期：2026-04-30 13:42:18
本文链接：https://ybb.press/security/1403.html

上一篇 > CORS 策略与跨域治理（2025）
下一篇 > CORS与SameSite Cookie策略：跨域与CSRF防护

CORS 预检缓存：Access-Control-Max-Age 的取舍与风险

评论列表共有 0 条评论

发表评论取消回复

CORS 预检缓存：Access-Control-Max-Age 的取舍与风险

Popover API 实战：锚定弹出层的无障碍与性能

Popover API 原生弹层：无框架交互与可访问性

Payment Request API 实战：支付流程与兼容回退

OpenTelemetry 全栈可观测性落地指南（2025）

评论列表 共有 0 条评论

发表评论 取消回复

评论列表共有 0 条评论

发表评论取消回复