一、什么是跨域与CORS机制？

跨域（Cross-Origin）是指浏览器在发起网络请求时，如果请求的目标资源所在的源（Origin）与当前页面的源不同，则触发浏览器的同源策略限制。

CORS（Cross-Origin Resource Sharing）是一种基于HTTP头部的机制，允许服务器声明哪些来源可以访问其资源。CORS将请求分为两种类型：

• 简单请求（Simple Request）：如GET、POST（特定Content-Type）
• 预检请求（Preflight Request）：如PUT、DELETE、自定义头信息等复杂请求

当浏览器检测到PUT请求时，会自动发送一个OPTIONS请求进行预检，只有服务器正确响应后，才会继续执行实际的PUT请求。

二、为何PUT请求更容易出现跨域问题？

这是因为PUT请求属于“非简单请求”，浏览器必须先发送OPTIONS请求进行预检。而很多开发者往往只配置了对GET和POST的支持，忽略了对OPTIONS的处理。

常见错误表现包括：

三、如何正确配置服务器以支持PUT请求？

要让服务器支持PUT请求并顺利通过预检流程，需设置以下HTTP头部：

• Access-Control-Allow-Origin：指定允许访问的源
• Access-Control-Allow-Methods：包含PUT方法
• Access-Control-Allow-Headers：列出客户端使用的请求头
• Access-Control-Allow-Credentials（可选）：是否允许携带凭证

示例Node.js（Express）配置代码：

app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  if (req.method === 'OPTIONS') {
    return res.sendStatus(204);
  }
  next();
});
    

四、调试与排查流程

遇到PUT跨域问题时，建议按照如下流程进行排查：

关键检查点包括：

• 检查请求地址是否真正跨域（协议、域名、端口）
• 使用Postman或curl测试接口，绕过浏览器限制
• 查看浏览器Network面板中的OPTIONS请求响应头
• 确认服务端是否处理了OPTIONS请求并返回204/200

五、进阶建议与最佳实践

为避免类似问题反复出现，推荐以下开发与部署实践：

• 统一前后端通信规范，明确使用的方法与头部字段
• 在网关层统一处理CORS逻辑，避免重复配置
• 使用反向代理解决跨域问题（如Nginx、API Gateway）
• 对于敏感操作，启用Access-Control-Allow-Credentials并配合安全措施
• 定期使用工具扫描接口CORS配置安全性

例如，在Nginx中配置跨域的示例：

location /api/ {
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization';

    if ($request_method = OPTIONS) {
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
    }
}