没想到 2026 年，还要浪费大量时间在跨域问题上

这玩意对于 AI 就 1 分钟解决的事情。。

@xxyang 无条件放行，这么勇？

@lujiaosama 真的要搞你，岂是几个头能拦住

@xxyang 别的不说，至少对象存储得拦一下吧。

正确方法是前端配置代理+后端配置 nginx 转发解决跨域。所以这不是前后端两个人的问题么

@Garwih 测试环境本地 hosts 写个转发，本地 nginx 监听，转发的时候强行加个头，咋不行了，又不是发布环境，如果后端真不懂，你等他搞还真不如本地转发下

@Garwih op 是测试环境发现跨域，这样解决也没啥问题啊

@Garwih 感觉是你不懂，AI 淘汰的说不定就是你咯。。。

开发环境下，跨域一直都是前端配置的，比如 vite/webpack 都提供的有配置
上线之后，有 BFF 层的项目也是前端处理的。没有 BFF 层的还有一部分是运维处理的，真让后端处理的才是比较少的。

而且因为有 access-control-allow-headers 这个配置，具体怎么配置，一定是有前端参与沟通的指定的，反而是后端不一定会管这个事。

不要笑。现在 AI 厂家原生支持跨域的有多少？

甚至明明可以 API key <-> origin 双向绑定加强安全性的。

接口部署到了测试环境你不应该在本地代理测试环境或者也发到测试环境吗

@ARIInV2 #16 上纲上线来说，这是测试环境，如果你用测试环境页面访问测试环境接口跨域，找后端，找运维都没问题，自己本地连测试环境接口跨域不很正常，不解决不也正常？不上纲上线，你都说了他菜，费半天劲解决不了，浪费时间浪费精力，自己反代一下很困难么，不会就别说人家菜了。最烦 bb 赖赖的。越菜的 b 话越多。

@Cruzz #7 6 ，去养猪吧

- 如果你的应用本身只是小应用，用的人不多，那么你用「 BFF/反向代理」简易搭一个都没问题
- 但是如果你的应用相对比较大，复杂度比较高，我觉得还是应该老老实实配置 CORS ，多一层「 BFF/反向代理」反而会带来很多麻烦，包括性能、成本，还有「代理」本身还需要监控、管理，错误排查链路更复杂，SSE 之类支持更复杂等，除非你真的需要「 BFF 」，不然的话，加多一个实体就是加多一层麻烦。

@Cruzz 配代理如果出了问题，会说你为什么配代理，导致安全扫描 balabala 有问题。还是得后端自己启动，前端不管，后端想办法去

合久必分，分久必合

另外，测试环境跟生产环境有架构上的差异会导致测试环境丢失很多它原来能起到的作用。

这玩意不都是运维搞吗，运维会在 nginx 处拦截，判断是否是公司域名或者白名单域名，使用“add_header Access-Control-Allow-Origin 请求域名;”设置跨域，并且还要使用"proxy_hide_header Access-Control-Allow-Origin;"隐藏后端返回的跨域，防止双重跨域并且禁止使用*设置跨域值。

要么一直做前后端同源的项目
要么大公司出来的，这种事情有 SRE 来负责
要么做的项目 nginx 反代 cors 配置都是别人弄好了 不需要他关心
我也不知道楼里在优越什么。。。

日常前端吐槽后端不懂 CORS

@sagnitude
@andyskaura
@lscho #28 楼主都说了上测试环境了，明显开发环境已经配了反向代理。测试环境还让前端用 vite/webpack 配代理就是完全不懂 CORS 。作为 Web 后端不懂 CORS ，要么就是纯螺丝钉，工作过的公司都是运维弄好。要么就是菜了。