很多团队在本地环境里调 CORS 时,只想先把跨域问题解决,随手一个全开放头部写上去,等到上生产又懒得细拆源域和路径,觉得反正浏览器帮你挡了一层。用着用着就发现,测试域可以操作生产接口,第三方页面可以带着用户登录态完成敏感请求,安全审计一来满眼都是潜在风险。
先把结论挑明:
一、CORS 核心不是帮你“放行前端”,而是限定谁能在浏览器里代用户发带凭证的请求。
二、生产环境里最危险的不是“不能访问”,而是“该禁的没禁,该细化的没细化”。
三、要让 CORS 既好用又安全,就得把来源白名单、凭证策略、预检逻辑和接口本身权限一起设计。
这一篇只解决两件事:
一、说清楚生产环境下 CORS 容易被忽略的安全细节。
二、给出一套可直接照抄的 CORS 配置和测试方案,辅以 VMLogin 控制管理端访问环境。
一、生产 CORS 配置里最常见的坑
1、Origin 一开放,万事大吉
很多后端为了省事:
直接返回通配符源;
或者在调试阶段把某个配置写成接受所有来源,后来忘记收紧。
这意味着任何第三方页面只要能在浏览器里跑脚本,就可以调用你的接口,并在用户带着登录态时完成操作。
哪怕接口自身做了权限判断,也大幅增加被跨站请求伪造和滥用的风险。
2、忽略 Credential 与 Cookie 策略
常见的误解是:
只要接口本身需要登录,外部站点就无能为力。
结果却是:
前端默认携带 Cookie 使用带凭证请求;
后端一边允许跨域一边允许带凭证,但没有限制来源;
用户在不可信网站上打开一段脚本,对方就能拿你的域当免费后台。
Credential 策略配不好,相当于主动把用户会话借给别人用。
3、预检请求只按“能不能过”来处理
很多网关把预检当成简单的跨域探测:
请求来了就统一放行;
没有额外日志和限制;
也不对访问的具体路径做区分。
问题在于,不正常的前端工具和攻击尝试也会走预检。
如果你不记录这些信息,就丢掉了大量早期威胁信号。
4、开发环境配置意外带到生产
典型事故包括:
测试域名依然在生产白名单中;
内部工具站点被放在与正式前端一样的权限级别;
灰度环境和正式环境之间可以互调敏感接口。
攻击者只要拿到这些测试域的控制权,就能在浏览器端直接操纵正式数据。
二、CORS 安全的本质是“谁能代谁发请求”
1、从用户视角,而不是从接口视角思考
用户在浏览器里访问一个站点时,实际上把自己的身份交给了当前页面。
CORS 的关键问题是:
哪些源域上跑的脚本有权利使用这份身份去调用你的接口;
哪些源域只能被当成普通第三方内容展示,不可发起带凭证请求。
生产环境里,绝大多数接口都不应该被任意网页公开调用,更别说携带 Cookie 和令牌。
2、把来源和接口两头都限定好
安全的 CORS 实质上要规定:
哪些来源可以访问哪些接口;
在这些接口上是否允许带凭证;
访问方式中是否允许自定义头、复杂方法和大体量请求。
单纯有来源白名单还不够,还要限制接口本身暴露出多大操作面。
3、CORS 解决的只是浏览器里的问题
跨域处理只能约束浏览器,无法阻止服务端脚本直接调用接口。
也就是说:
接口仍然需要服务端鉴权,CORS 不能替代任何授权机制;
后端看到的一切请求都必须在业务层有完整的权限校验逻辑。
CORS 做的是“谁能在用户浏览器里调用接口”,而不是“谁能从世界上任何地方访问你的服务器”。
三、生产 CORS 需要注意的关键细节
1、按环境和业务拆分来源白名单
不要搞一个全局白名单把所有前端域名都写进去。
更安全的做法是:
按环境拆分源域,例如测试、预生产和正式各用自己的源域集合;
按业务拆分接口,只有对应业务的前端域可以访问相关接口。
这一点可以通过网关或服务配置来实现,让调整变成配置变更而不是改代码。
2、带凭证请求只允许少量可信来源
跨域访问如果需要携带 Cookie 或令牌,必须非常谨慎:
明确列表中哪些源域属于你自己的前端;
仅对这些源域允许带凭证请求;
对于任何第三方域,哪怕是合作伙伴,只允许无凭证访问公开接口。
带凭证意味着赋予对方“代用户操作”的能力,数量越少越好。
3、预检请求要记日志,要做限速
预检请求本身就是不错的预警信号来源:
记录预检中的来源域、请求方法和头部列表,可以帮助你发现异常调用模式;
对于预检频率异常高的来源,可以优先限速或拉入观察名单;
在预检阶段就拒绝明显不合理的来源,可以节省大量后端资源。
4、不要依赖客户端传来的 Origin 字段做最终判断
Origin 字段可以被某些环境伪造,或者由误配的代理篡改。
在网关或服务器中,可以结合:
请求的 Host 字段;
目标路径;
内部路由信息;
一并判断请求是否来自可预期通路。
CORS 工具库方便调试,但上生产前最好明确检查生成的响应头是否与预期策略一致。
四、新手可照抄的 CORS 生产方案与 VMLogin 配合
1、分三层管理跨域权限
可以将接口按敏感度拆成三层:
一、公开接口
只返回不涉及用户隐私和账户状态的数据;
允许有限的第三方访问,但默认不带凭证。
二、登录接口
用于用户登录、注销、刷新令牌;
只允许自家前端域名发起,强制走安全通道。
三、敏感业务接口
涉及订单、支付、账号信息等核心操作;
仅允许极少数正式前端域访问;
除了 CORS 检查之外,还必须有强鉴权与二次确认。
在配置中,分别为这三层接口定义来源白名单和是否带凭证的策略。
2、用 VMLogin 固定管理端和工具端环境
管理后台和内部工具往往具有极高权限,最怕被不可信浏览器或来源滥用。
这里可以借助 VMLogin 来控制访问环境:
为不同角色建立专用浏览器环境,例如运维环境和运营环境:
每个环境固定指纹、语言、时区和出口网络;
管理后台只允许来自这些环境的请求,网关可通过额外头部或客户端证书识别环境。
对外包人员或第三方团队提供隔离环境:
只能访问特定测试域和沙箱接口;
CORS 白名单中也仅放这些域名,避免意外触达生产接口。
3、在日志与风控系统中引入环境信息
当用户通过 VMLogin 环境访问你的前端时,可以:
在前端与网关间传递环境标识;
后端日志记录来源域加环境标识加账号的组合。
一旦某个来源域出现异常跨域访问,你可以快速定位是哪个环境出了问题,从而精准撤销其权限,而不是全面紧缩 CORS 规则。
4、回归测试与灰度调整
在上线新的 CORS 策略前,可以用以下步骤演练:
先在部分测试环境中启用严格策略,观察功能和风控指标;
用 VMLogin 管理的环境对关键业务链路做全量回归,确保正常访问路径不被误伤;
逐步扩大策略覆盖范围,并同时监控跨域失败率与异常预检量。
当你清楚知道每一条跨域访问背后的来源域和环境,CORS 就不再是一堆难懂的头部,而是一张明确的访问规则表。
配合 VMLogin 将高风险访问收敛到受控环境,多前端、多域名、多角色的复杂场景也能做到既不随意裸露接口,又不随便把用户困在跨域错误里。