跨域资源共享（CORS）？

在同源策略下，浏览器会阻止跨域请求，但使用 CORS 可以在服务器端明确授权特定的跨域请求。

要配置 CORS 来确保前端安全，通常需要在服务器端进行以下设置：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e

跨域请求的处理：服务器端需要处理 OPTIONS 请求方法，即预检请求。预检请求用于检查实际请求是否安全，并获取服务器是否允许跨域请求。服务器需要返回合适的响应头，包括 Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers 等。

Access-Control-Allow-Origin：该响应头确定哪些源被允许访问该资源。服务器应该指定允许访问的源，可以是具体的域名，也可以是 "*" 表示允许所有源。

Access-Control-Allow-Methods：该响应头指定哪些请求方法被允许用于跨域请求。服务器应该指定允许的请求方法，如 GET、POST、PUT 等。

Access-Control-Allow-Headers：该响应头指定哪些自定义请求头被允许。服务器应该指定允许的自定义请求头，如 Content-Type、Authorization 等。

Access-Control-Allow-Credentials：如果请求需要携带身份验证信息如 Cookie 或 HTTP 认证，则需要设置该响应头为 true，并且客户端的 XMLHttpRequest 对象需要设置 withCredentials 为 true。

Access-Control-Expose-Headers：该响应头指定哪些响应头字段可以被获取。服务器可以设置允许获取的响应头字段，以便客户端访问。

通过以上设置，服务器可以明确指定哪些跨域请求是安全的，哪些是被允许的，以确保前端的安全性。需要注意的是，配置 CORS 时要慎重考虑允许的源、方法和头部，避免导致安全漏洞。