如何处理跨域资源共享（CORS）的 OPTIONS 请求？

处理跨域资源共享（CORS）的 OPTIONS 请求主要涉及到服务器端的配置和响应设置，以下是常见的处理方法：

使用Express框架

• 设置响应头：在Express应用中，可以使用中间件来处理 OPTIONS 请求，并设置相应的响应头。以下是一个示例：

const express = require('express');
const app = express();

app.use((req, res, next) => {
   
  // 允许所有源访问
  res.setHeader('Access-Control-Allow-Origin', '*');
  // 允许的请求方法
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
  // 允许的请求头
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  // 是否允许携带凭证
  res.setHeader('Access-Control-Allow-Credentials', true);

  if (req.method === 'OPTIONS') {
   
    res.sendStatus(200);
  } else {
   
    next();
  }
});

// 定义其他路由和中间件

app.listen(3000, () => {
   
  console.log('Server running on port 3000');
});

• 在上述示例中，中间件首先设置了允许所有源访问的Access-Control-Allow-Origin头，然后指定了允许的请求方法和请求头。对于 OPTIONS 请求，直接返回状态码为200的响应，表示允许跨域请求。对于其他类型的请求，则继续执行后续的路由和中间件。

使用Spring Boot框架

• 配置CorsFilter：在Spring Boot应用中，可以通过配置CorsFilter来处理 CORS 请求，包括 OPTIONS 请求。以下是一个示例：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {
   

    @Bean
    public CorsFilter corsFilter() {
   
        CorsConfiguration config = new CorsConfiguration();
        // 允许所有源访问
        config.addAllowedOrigin("*");
        // 允许的请求方法
        config.addAllowedMethod("*");
        // 允许的请求头
        config.addAllowedHeader("*");
        // 是否允许携带凭证
        config.setAllowCredentials(true);

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);

        return new CorsFilter(source);
    }
}

• 在上述配置中，创建了一个CorsFilter bean，其中设置了允许所有源访问、所有请求方法和请求头，并允许携带凭证。然后将该过滤器应用到所有的请求路径上，这样在接收到 OPTIONS 请求时，会自动根据配置添加相应的响应头，允许跨域请求。

使用ASP.NET Core框架

• 配置Cors中间件：在ASP.NET Core应用中，可以使用Microsoft.AspNetCore.Cors命名空间下的中间件来处理 CORS 请求。以下是一个示例：

using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.DependencyInjection;

public class Startup
{
   
    public void ConfigureServices(IServiceCollection services)
    {
   
        services.AddCors(options =>
        {
   
            options.AddPolicy("AllowAll", builder =>
            {
   
                builder.AllowAnyOrigin()
                      .AllowAnyMethod()
                      .AllowAnyHeader()
                      .AllowCredentials();
            });
        });

        // 其他服务配置
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
   
        app.UseCors("AllowAll");

        // 其他中间件配置
    }
}

• 在上述示例中，在ConfigureServices方法中添加了一个名为AllowAll的CORS策略，允许所有源、所有请求方法和请求头，并允许携带凭证。然后在Configure方法中应用了该策略，使得应用能够处理 OPTIONS 请求及其他跨域请求，并根据配置添加相应的响应头。

自定义服务器端处理

• 根据请求来源和方法进行判断：如果使用的是其他自定义的服务器端技术或框架，也可以通过获取请求的来源、方法等信息，手动判断是否允许跨域请求，并设置相应的响应头。以下是一个简单的示例，假设使用原生的HTTP服务器：

const http = require('http');

const server = http.createServer((req, res) => {
   
  const origin = req.headers.origin;
  const method = req.method;

  if (method === 'OPTIONS') {
   
    res.writeHead(200, {
   
      'Access-Control-Allow-Origin': origin || '*',
      'Access-Control-Allow-Methods': 'GET, POST, PUT, DELETE, OPTIONS',
      'Access-Control-Allow-Headers': 'Content-Type, Authorization',
      'Access-Control-Allow-Credentials': 'true'
    });
    res.end();
  } else {
   
    // 处理其他请求类型
    //...
  }
});

server.listen(3000, () => {
   
  console.log('Server running on port 3000');
});

• 在上述示例中，对于 OPTIONS 请求，根据请求头中的Origin字段或设置为*来允许跨域访问，并设置了允许的请求方法、请求头和是否允许携带凭证等响应头。对于其他请求类型，可以根据具体的业务逻辑进行处理。

处理 CORS 的 OPTIONS 请求的关键是正确设置响应头，以告知浏览器是否允许跨域请求以及允许的具体条件。根据所使用的服务器端技术和框架，可以选择相应的方法来实现对 OPTIONS 请求的处理，从而确保跨域资源共享的正常进行。