概述
在开发基于 Dify API 的前端应用时,跨域问题常常导致请求被浏览器拦截,表现为 CORS error 或 No 'Access-Control-Allow-Origin' header 错误。这并非前端代码缺陷,而是服务端默认未开放跨域访问策略所致。通过合理配置,可快速解决此类问题。
一、启用开发环境 CORS 支持
Dify 提供了便捷的环境变量来开启跨域支持。在开发阶段,只需修改 .env 文件中的相关配置项:
# 启用跨域资源共享
CORS_ALLOW_ORIGINS=http://localhost:3000,http://127.0.0.1:8080
CORS_ALLOW_METHODS=GET,POST,PUT,DELETE,OPTIONS
CORS_ALLOW_HEADERS=Content-Type,Authorization,X-Requested-With
上述配置允许来自本地前端应用的请求,并支持常用请求方法与自定义头字段。
二、生产环境的安全策略
生产环境中应严格限制来源域名,避免使用通配符 *。推荐通过反向代理统一处理跨域,例如 Nginx 配置:
location /api/ {
add_header 'Access-Control-Allow-Origin' 'https://your-frontend.com' always;
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
add_header 'Access-Control-Allow-Headers' 'Content-Type, Authorization' always;
if ($request_method = OPTIONS) { return 204; }
}
三、常见错误与排查清单
- 检查后端是否返回正确的 CORS 响应头
- 确认前端请求携带的 Origin 与白名单匹配
- 避免在请求中添加未授权的自定义头部
- 确保预检请求(OPTIONS)能被正确响应
验证配置是否生效
可通过浏览器开发者工具查看网络请求的响应头,确认包含以下字段:
| 响应头字段 | 预期值示例 |
|---|---|
| Access-Control-Allow-Origin | http://localhost:3000 |
| Access-Control-Allow-Methods | GET, POST, OPTIONS |
graph TD
A[前端发起请求] --> B{是否同源?}
B -- 是 --> C[直接发送]
B -- 否 --> D[触发 CORS 预检]
D --> E[服务器返回 Allow-Origin]
E --> F[实际请求放行]
四、深入理解跨域机制
同源策略与底层机制
浏览器同源策略(Same-Origin Policy)是 Web 安全的基石,用于隔离不同来源的文档和脚本。同源需满足协议、域名、端口完全一致。
同源判定示例
// 判断当前页面与目标 URL 是否同源
function isSameOrigin(url) {
const current = new URL(..);
target = (url);
(
current. === target. &&
current. === target. &&
current. === target.
);
}
