Node.js通过设置响应头或使用中间件解决跨域问题。1. 使用CORS设置响应头,通过Access-Control-Allow-Origin等字段允许跨域请求,需注意预检请求处理;2. Express框架可集成cors中间件,支持全局或自定义跨域配置,提升开发效率;3. 前端开发环境可通过代理转发请求,如Vite配置proxy将/api指向后端服务,避免跨域;4. 复杂请求触发OPTIONS预检,服务端需正确响应以确保跨域能力。推荐开发阶段使用前端代理,生产环境由后端统一配置CORS,兼顾安全与灵活性。
Node.js处理跨域问题主要通过设置HTTP响应头或使用中间件来实现。前端与后端联调时,跨域是常见问题,尤其是在前后端分离架构中。只要正确配置响应头或代理,就能顺利打通请求。
1. 使用CORS设置响应头解决跨域
CORS(Cross-Origin Resource Sharing)是浏览器支持的跨域解决方案。Node.js原生可通过设置响应头允许跨域请求。
示例代码:
const http = require('http');
const server = http.createServer((req, res) => {
// 允许任意域名访问(生产环境建议指定具体域名)
res.setHeader('Access-Control-Allow-Origin', '*');
// 允许的请求方法
res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
// 允许携带的请求头
res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
if (req.method === 'OPTIONS') {
// 预检请求直接返回200
res.statusCode = 200;
res.end();
return;
}
// 正常业务逻辑
res.writeHead(200, { 'Content-Type': 'application/json' });
res.end(JSON.stringify({ message: 'Hello from Node.js' }));
});
server.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
说明:关键在于设置Access-Control-Allow-Origin,若需携带cookie,则不能用*,必须指定具体域名,并设置Access-Control-Allow-Credentials: true。
立即学习“前端免费学习笔记(深入)”;
2. 使用Express框架配合cors中间件
在实际开发中,大多数Node.js项目使用Express。可以借助cors中间件快速启用跨域支持。
安装cors:
npm install cors
使用方式:
const express = require('express');
const cors = require('cors');
const app = express();
// 全局启用CORS
app.use(cors());
// 或者自定义配置
const corsOptions = {
origin: 'http://localhost:8080', // 只允许前端地址
credentials: true // 允许携带凭证
};
app.use(cors(corsOptions));
app.get('/api/data', (req, res) => {
res.json({ message: 'Success' });
});
app.listen(3000);
这种方式简洁且可配置性强,适合团队协作和正式项目。
3. 前端开发环境通过代理解决跨域
前端在开发阶段也可不依赖后端配置,通过本地开发服务器代理请求。
以Vue或React项目为例(基于webpack-dev-server):
- 在
vite.config.js中配置代理:
export default {
server: {
proxy: {
'/api': {
target: 'http://localhost:3000',
changeOrigin: true,
rewrite: (path) => path.replace(/^\/api/, '')
}
}
}
}
- 之后前端请求
/api/users会自动转发到http://localhost:3000/users,避免跨域。
这种方案让前端独立调试,无需后端开启CORS,适合联调初期。
4. 处理复杂请求与预检(Preflight)
当请求包含自定义头、认证信息或非简单方法(如PUT、DELETE)时,浏览器会先发送OPTIONS预检请求。
Node.js服务必须正确响应预检请求,否则跨域失败。
确保以下几点:
- 对
OPTIONS请求返回200状态码 - 设置
Access-Control-Allow-Methods包含实际使用的HTTP方法 - 设置
Access-Control-Allow-Headers包含前端发送的自定义头,如Authorization、x-requested-with
使用cors中间件时,这些通常已自动处理。
基本上就这些。跨域问题本质是浏览器安全策略,只要后端正确响应,或前端合理代理,就能顺利联调。开发阶段推荐前端配代理,上线后由后端统一配置CORS规则,安全又灵活。
