在 Elasticsearch 的配置文件 elasticsearch.yml 中开启 http.cors 相关选项并重启节点，是解决浏览器端直接访问 ES 接口被跨域拦截的直接方法。请注意，标准 Kibana 部署（浏览器 -> Kibana 服务端 -> ES）通常不需要此配置，仅适用于自定义前端或 Kibana 静态资源与 ES 接口分离且浏览器直接请求 ES 的场景。

安全配置示例

修改 elasticsearch.yml 文件。核心是告诉 Elasticsearch 允许特定来源的浏览器发起请求。生产环境切勿使用星号，应指定具体域名。

http.cors.enabled: true
http.cors.allow-origin: "https://your-kibana-domain.com" # 生产环境请替换为具体域名
http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE
http.cors.allow-headers: X-Requested-With, Content-Type, Content-Length, Authorization
http.cors.allow-credentials: true

将上述内容添加到 elasticsearch.yml 末尾，保存后重启 Elasticsearch 服务。如果仅用于本地测试，可将 allow-origin 临时设为 "*"，但上线前必须修改。

验证配置是否生效

修改配置后，可通过以下两种方式验证响应头是否包含跨域允许标识。

1. 使用 curl 命令模拟请求：

curl -H "Origin: https://your-kibana-domain.com" -X GET http://localhost:9200 -I

检查输出中是否包含 Access-Control-Allow-Origin 且值与请求头中的 Origin 匹配。

2. 浏览器开发者工具：

打开浏览器开发者工具（F12），进入 Network 标签页，刷新访问 ES 接口的页面。找到请求条目，查看 Response Headers。如果看到 Access-Control-Allow-Origin 字段且值匹配你的请求来源，说明配置生效。

最佳实践与风险规避

1. 避免浏览器直连 ES：浏览器直接访问 ES 接口违背最佳安全实践。即使配置了 CORS，ES 暴露在公网且未开启认证仍会导致数据泄露。建议通过 Nginx 反向代理或后端 API 网关转发请求，由服务端与 ES 通信。

2. 配合认证使用：开启 CORS 不影响原有的账号密码认证。如果开启了 X-Pack 安全功能，浏览器请求仍需携带正确的凭证（Authorization Header）。

3. 网络隔离：确保配置的是 Elasticsearch 的 HTTP 端口（默认 9200），并通过防火墙限制仅受信任的 IP 或域名可访问该端口。

常见排查步骤

• 配置未生效：修改 yml 后必须重启服务，这类网络模块配置不支持热加载。检查日志确认节点启动无误。
• 端口混淆：确认连接的是 HTTP 端口（9200），而不是传输端口（9300）。
• 域名不匹配：如果 allow-origin 设置了具体域名，请求头的 Origin 必须完全匹配（包括协议 http/https 和端口）。
• Kibana 连接问题：确保 kibana.yml 中的 elasticsearch.hosts 指向的是配置了 CORS 的 ES 地址（如果是服务端连接通常不需要 CORS）。