在国外VPS上部署Python API时，跨域访问（CORS，Cross-Origin Resource Sharing）是绕不开的技术门槛。比如外贸电商前端（域名为shop.abc.com）调用部署在国外VPS（域名为api.xyz.com）的商品接口时，浏览器会因同源策略拦截请求，导致用户无法正常获取数据。本文结合实际运维场景，拆解跨域问题的诊断与解决方法，帮开发者快速打通API访问链路。

跨域现象与根源诊断

当前端页面与API服务的协议（http/https）、域名、端口三者任意一项不同时，浏览器会触发同源策略限制。具体表现为：在Chrome控制台看到“Access to fetch at 'https://api.xyz.com/data' from origin 'https://shop.abc.com' has been blocked by CORS policy”的报错，请求状态码可能显示200但无响应内容。

问题根源在于，浏览器默认只允许同源请求，跨域请求需服务端明确授权。以Flask框架为例，未配置CORS时，即使API逻辑正常，浏览器也会拦截响应数据。

Flask框架：扩展与手动配置双方案

方案1：使用Flask-CORS扩展（推荐）

Flask-CORS是社区广泛使用的跨域解决方案，支持细粒度控制。安装命令简单：

pip install flask-cors

基础配置仅需3行代码：

from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)  # 允许所有源跨域请求

@app.route('/api/data')
def get_data():
    return {"message": "跨域数据返回成功"}

若需限制来源（如仅允许自有前端域），可通过resources参数指定：

CORS(app, resources={
    r"/api/*": {  # 匹配所有/api/开头的路由
        "origins": ["https://shop.abc.com", "http://localhost:3000"],  # 允许的前端域名
        "methods": ["GET", "POST"],  # 允许的请求方法
        "max_age": 3600  # 预检请求缓存1小时，减少服务器压力
    }
})

生产环境建议关闭全源允许（*），避免恶意域名滥用API。

方案2：手动设置响应头

若不想引入扩展，可在视图函数中手动添加CORS头。适用于需要自定义控制的场景：

from flask import Flask, make_response

app = Flask(__name__)

@app.route('/api/simple')
def simple_api():
    data = {"status": "ok"}
    resp = make_response(data)
    # 仅允许指定前端域名
    resp.headers['Access-Control-Allow-Origin'] = 'https://shop.abc.com'
    # 允许携带Cookies（如需要）
    resp.headers['Access-Control-Allow-Credentials'] = 'true'
    # 允许前端获取的自定义响应头
    resp.headers['Access-Control-Expose-Headers'] = 'X-Data-Version'
    return resp

注意：每次响应都需设置头信息，多路由场景建议封装成装饰器复用。

Django框架：django-cors-headers配置指南

Django用户可通过django-cors-headers扩展实现跨域支持，步骤如下：

1. 安装扩展：

pip install django-cors-headers

2. 修改settings.py：

INSTALLED_APPS = [
    'corsheaders',  # 需放在最前面
    'django.contrib.admin',
    # 其他应用...
]

MIDDLEWARE = [
    'corsheaders.middleware.CorsMiddleware',  # 必须在CommonMiddleware之前
    'django.middleware.common.CommonMiddleware',
    # 其他中间件...
]

全源允许（测试环境）
CORS_ALLOW_ALL_ORIGINS = True

生产环境限制来源（推荐）
CORS_ALLOWED_ORIGINS = [
    "https://shop.abc.com",
    "http://localhost:8080"  # 开发环境
]

允许的请求方法（默认GET, HEAD, POST）
CORS_ALLOW_METHODS = [
    "DELETE",
    "GET",
    "OPTIONS",
    "PATCH",
    "POST",
    "PUT",
]

常见误区：未将CorsMiddleware放在CommonMiddleware前，会导致跨域规则不生效，需特别注意。

生产环境关键注意事项

- 避免使用*通配符：全源允许可能导致API被恶意域名爬取，建议根据业务场景设置白名单。
- 限制请求方法：仅开放业务需要的GET、POST等方法，减少不必要的安全风险。
- 缓存预检请求：通过max_age（Flask）或CORS_PREFLIGHT_MAX_AGE（Django）设置预检请求缓存时间，降低服务器压力。
- 测试多场景：除正式域名外，需测试本地开发环境（如localhost）、移动端H5页面等场景的跨域兼容性。

在国外VPS上部署Python API时，合理配置CORS不仅能保障业务正常运行，还能提升API的安全性和稳定性。无论是使用框架扩展还是手动配置，核心都是通过响应头明确告知浏览器“允许哪些源、方法、头”访问资源。掌握这些方法后，开发者可根据具体业务需求灵活调整，确保API跨域访问高效且安全。