应用程序或基础设施中的CORS处理？

Question

在基础设施或应用程序中处理CORS的缺点和好处是什么？

我的意思是，在我的nginx/apache/tomcat上设置CORS更好吗？还是通过在我的应用程序中编码来处理它呢？

我有三个API REST在nginx反向代理后面使用他们自己的语言(java spring、express和php)运行。我可以访问代码和nginx配置。

什么时候必须避免在基础结构(配置)中处理CORS？什么时候我必须避免在我的应用程序(代码)中处理CORS？

Answer 1

我认为这个问题没有一个普遍的答案。

如果您有一个web api，它应该为不同的客户端提供不同的功能子集，那么您可能希望使用CORS和授权配置信息来实现这一点。如果由于某些原因，您不完全信任通道并拥有敏感数据，则尤其可能出现这种情况。在这种情况下，飞行前CORS请求将完全阻止数据的传输。

Answer 2

补充@sentinel的回答，似乎没有一个广泛的惯例来放置CORS头。我想说：

如果以下情况，我会将逻辑放在服务器中：

• 它依赖于公司内部的一个不同的团队，而我不愿意委托它。
• 我需要构建主机的动态白名单，这取决于服务器逻辑(但从未见过此场景)。

我会把逻辑放在下面，如果：

• 其他与通信相关的头(例如API键)是在另一层处理的，这样我就可以在服务器中保持业务逻辑。

总之，这些都不是硬性规定，我想这两种选择都是正确的。