前后端程序员有时候在联调时会有一个疑问，为什么前端自己的代码里面明明没有写过 OPTIONS 类型的请求，但是在网页上调试会多出来这么一个 OPTIONS 请求？

这是因为浏览器在进行跨域请求时，为了确保安全性会多出一个 OPTIONS 请求。这个请求被称为"

跨域问题是由于浏览器的一种安全策略而出现的，即同源策略（Same origin policy）。同源策略由 Netscape 提出，是浏览器最核心也是最基本的安全功能。所谓“

JavaScript

跨域的方式有哪些，为什么需要跨域，同源策略拦截客户端请求还是服务器响应

同源策略是所有浏览器都必须遵循的一项安全原则，它的存在决定了浏览器在默认情况下无法对跨域请求的资源做进一步处理。为了实现跨域资源的共享，W3C制定了CORS规范。ASP.NET利用CorsMiddleware中间件提供了针对CORS规范的实现。（本文提供的示例演示已经同步到《ASP.NET Core 6框架揭秘-实例演示版》）

金融界2025年1月31日消息，国家知识产权局信息显示，中盈优创资讯科技有限公司申请一项名为“一种API网关防护CSRF攻击的实现方法及装置”的专利，公开号CN 119382927 A，申请日期为2024年9月。

专利摘要显示，本发明公开一种API网关防护CSRF攻击的实现方法及装置，其中方法包括：S01、在API网关上增加API的标志位，标记API是否涉及敏感信息，并配置API请求频率的阈值、IP黑名单、Referer黑名单和CORS策略；S02、接收API请求报文，根据所述API网关的配置信息，拦截异常的API请求；S03、将未拦截的API请求送到大数据平台，根据大数据平台训练好的检测模型，对API请求进行进一步的分析。本发明一种API网关防护CSRF攻击的实现方法及装置，在检测当前API请求的同时，还结合了历史API请求报文，使得检测CSRF攻击时所使用的检测条件更加全面；本发明能够从不同的维度对用户的API请求报文进行分析，减少了检测过程中可能出现的数据误差，从而提高了CSRF攻击检测的准确性。

1 前言

前文 《深入跨域 - 从初识到入门》 中，大家已经对同源与跨域的产生历史与重要性等有了一个初步的了解了，那么我们应该如何解决在日常开发中遇到的跨域引起的问题呢？

据bleepingcomputer网5月29日报道，Okta 警告说，客户身份云 （CIC） 功能正在成为撞库攻击的目标，并指出自 4 月以来，许多客户已成为攻击目标。

Okta 是一家领先的身份和访问管理公司，提供基于云的解决方案，用于安全访问应用程序、网站和设备。它提供单点登录 （SSO）、多因素身份验证 （MFA）、通用目录、API 访问管理和生命周期管理。

（20）CORS组件实现跨域请求

1. 同源请求