news 2026/7/1 14:20:22

随笔小计-前端经常接触的http响应头(跨域CORS,性能-缓存-安全,token)

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
随笔小计-前端经常接触的http响应头(跨域CORS,性能-缓存-安全,token)

在前端开发中,响应头由后端或服务器设置,前端开发需要理解其含义,以便调试跨域,缓存,安全性能等问题。

1.CORS-跨域

响应头说明
Access-Control-Allow-Origin允许哪些源访问资源(如*https://your-site.com
Access-Control-Allow-Methods允许的 HTTP 方法(如GET, POST, PUT
Access-Control-Allow-Headers允许客户端发送的自定义请求头(如Authorization, Content-Type
Access-Control-Allow-Credentials是否允许携带凭证(如 cookie),设为trueAllow-Origin不能为*
Access-Control-Max-Age预检请求(OPTIONS)结果的缓存时间(秒)

Access-Control-Allow-Origin: *是 CORS(跨域资源共享) 机制中的一个关键 HTTP 响应头,用于告诉浏览器:该资源可以被任意源(origin)的网页访问。

Access-Control-Max-Age:当浏览器发起一个带自定义请求头使用PUT/DELETE方法发送JSON数据等,会先自动发送以OPTIONS预检请求到服务'跨域请求是否被允许',避免相同请求重复发送预检请求,设置时间控制缓存持续时间。

2.性能,缓存,安全

响应头类别作用说明前端注意事项
Connectionkeep-alive性能优化保持 TCP 连接复用,减少建连开销无需处理,浏览器自动管理
Content-Encodinggzip性能优化响应体使用 Gzip 压缩浏览器自动解压,确保服务器正确压缩文本资源
Content-Typetext/javascript;charset=UTF-8内容类型标识资源为 UTF-8 编码的 JavaScript确保编码一致,避免乱码;现代推荐application/javascript(但兼容)
Strict-Transport-Securitymax-age=31536000; includeSubDomains; preload安全强制浏览器 1 年内使用 HTTPS(含子域)⚠️ HTTP 请求将被拒绝,确保全站 HTTPS
Transfer-Encodingchunked传输机制分块传输(动态内容,无固定长度)浏览器自动处理,无需干预
X-XSS-Protection1; mode=block安全(旧)启用 XSS 过滤并阻断攻击页面📌 现代浏览器已弃用,应优先使用 CSP

Content-Encoding:响应体使用 Gzip 压缩

3.Authorization: Bearer <token>

请求头中用于传递身份认证凭证

认证方案示例说明
Bearer(最常用)Authorization: Bearer eyJhbGciOiJIUzI1NiIs...用于 JWT、OAuth 2.0 等 Token 认证。前端从登录接口获取 token 后,后续请求都携带此头。
BasicAuthorization: Basic dXNlcjpwYXNz用户名密码 Base64 编码(user:passdXNlcjpwYXNz)。仅限 HTTPS,不推荐用于 Web 前端。

使用fetch

const token = localStorage.getItem('access_token'); fetch('/api/user/profile', { method: 'GET', headers: { 'Authorization': `Bearer ${token}` } }) .then(res => res.json()) .then(data => console.log(data));

使用Axios

axios.get('/api/orders', { headers: { 'Authorization': 'Bearer ' + token } });
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/1 14:04:18

并发事务带来哪些问题?

并发事务可能导致脏读、不可重复读和幻读。脏读是指一个事务读到了另一个事务未提交的“脏数据”。不可重复读是指在一个事务内多次读取同一数据&#xff0c;由于其他事务的修改导致数据不一致。幻读是指一个事务读取到了其他事务插入的“幻行”。

作者头像 李华
网站建设 2026/6/30 17:37:14

Webhooks:构建实时响应式系统的隐形桥梁

目录 一、Webhooks的技术本质 二、工作原理深度解析 三、核心应用场景 四、安全实践与挑战 五、未来发展趋势 在数字化浪潮中&#xff0c;系统间的实时通信需求日益迫切。传统轮询机制因效率低下已难以满足现代应用需求&#xff0c;而Webhooks作为一种轻量级的事件通知机制…

作者头像 李华
网站建设 2026/6/17 17:32:36

MySQL迁移到达梦:如何轻松、高质量完成迁移任务

前言 由于业务需求要求数据库国产化&#xff0c;近期需要将数据从mysql数据库中迁移到达梦数据库中。本次使用达梦新的数据库开发和管理工具–SQLark百灵连接进行迁移&#xff0c;我也是在官方社区里看到大家推荐抱着试试看的心态去下载的。惊喜的是&#xff0c;五步即可快速搞…

作者头像 李华
网站建设 2026/7/1 16:29:15

2026企业建站核心流程指南

企业建站是一项系统工程&#xff0c;科学有序的流程是保障建站效率与效果的关键。实践中&#xff0c;可遵循“需求定位→建站方式选型→搭建配置→上线运维”的核心流程分步推进&#xff0c;这一流程形成了从前期规划到后期运营的完整闭环&#xff0c;既能避免盲目建站导致的需…

作者头像 李华
网站建设 2026/7/1 2:10:45

基于STM32的红外遥控控制系统技术_366

文章目录 一、前言 1.1 项目介绍 【1】项目开发背景 【2】设计实现的功能 【3】项目硬件模块组成 【4】设计意义 【5】国内外研究现状 【6】摘要 1.2 设计思路 1.3 系统功能总结 1.4 开发工具的选择 【1】设备端开发 【2】OneNet平台 1.5 参考文献 1.6 系统框架图 1.7 系统原理…

作者头像 李华