Flask项目中实现CORS中间件的正确方式

在Flask项目开发中，跨域资源共享(CORS)是一个常见需求。本文将深入探讨如何在Flask应用中正确实现CORS中间件，避免常见的陷阱。

问题背景

开发者尝试在Flask应用中实现自定义CORS处理，不使用第三方库如flask-cors。他们遇到了一个典型问题：OPTIONS预检请求没有被正确拦截处理，导致预检请求被当作普通请求处理。

常见错误实现

很多开发者会尝试以下方式实现CORS中间件：

class CORSMiddleware:
    def before_request(self):
        if request.method == "OPTIONS":
            response = jsonify({"status": "ok"})
            return self.process_response(response)

    def after_request(self, response):
        return self.process_response(response)
    
    def register(self, app: Flask):
        app.before_request(self.before_request)
        app.after_request(self.after_request)

这种实现看似合理，但实际上存在一个关键问题：before_request钩子中返回的响应会绕过视图函数，但不会阻止后续的after_request钩子执行。这会导致预检请求的处理出现异常。

正确实现方式

1. 使用Flask内置机制

Flask提供了更优雅的方式处理OPTIONS请求。我们可以利用@app.before_request装饰器，结合返回响应来拦截请求：

@app.before_request
def handle_options():
    if request.method == "OPTIONS":
        resp = current_app.make_default_options_response()
        resp.headers["Access-Control-Allow-Origin"] = "*"
        resp.headers["Access-Control-Allow-Headers"] = "Content-Type, Authorization"
        resp.headers["Access-Control-Allow-Methods"] = "GET, POST, OPTIONS, DELETE, PUT"
        return resp

这种方式利用了Flask内置的make_default_options_response()方法，它会自动生成符合规范的OPTIONS响应。

2. 使用Werkzeug中间件

如问题中所示，使用Werkzeug中间件也是一种可靠方案。Werkzeug中间件在WSGI层面工作，能更底层地控制请求/响应流程：

from werkzeug.wrappers import Request, Response

class CORSMiddleware:
    def __init__(self, app):
        self.app = app

    def __call__(self, environ, start_response):
        request = Request(environ)
        
        if request.method == "OPTIONS":
            response = Response(status=200)
            response.headers.extend(self._get_cors_headers())
            return response(environ, start_response)
            
        def custom_start_response(status, headers, exc_info=None):
            headers.extend(self._get_cors_headers())
            return start_response(status, headers, exc_info)
            
        return self.app(environ, custom_start_response)
        
    def _get_cors_headers(self):
        return [
            ("Access-Control-Allow-Origin", "*"),
            ("Access-Control-Allow-Headers", "Content-Type, Authorization"),
            ("Access-Control-Allow-Methods", "GET, POST, OPTIONS, DELETE, PUT")
        ]

实现原理分析

1. 请求处理流程：Flask处理请求时，会依次执行before_request钩子、视图函数和after_request钩子。如果在before_request中返回响应，视图函数会被跳过，但after_request仍会执行。

2. OPTIONS请求特殊性：OPTIONS是HTTP预检请求，浏览器用它来检查服务器是否允许实际请求。它不需要执行实际业务逻辑，只需返回适当的CORS头。

3. 中间件执行顺序：Werkzeug中间件在更底层工作，能完全控制请求处理流程，因此能更精确地拦截OPTIONS请求。

最佳实践建议

1. 对于简单需求，使用Flask的before_request钩子配合make_default_options_response()是最简洁的方案。

2. 对于复杂场景或需要更精细控制的情况，考虑使用Werkzeug中间件。

3. 在生产环境中，评估使用成熟的第三方库如flask-cors可能是更稳妥的选择，它们已经处理了各种边缘情况。

4. 无论采用哪种方案，都要确保正确处理以下CORS头：

   • Access-Control-Allow-Origin
   • Access-Control-Allow-Methods
   • Access-Control-Allow-Headers
   • Access-Control-Allow-Credentials (如果需要)
   • Access-Control-Max-Age (用于预检请求缓存)

通过理解这些原理和实现方式，开发者可以更灵活地在Flask应用中实现符合需求的CORS解决方案。