跨域(CORS)

Posted 2020-11-23 ruhuanxingyun

1. 概念

　　同源策略：源就是协议、域名和端口号，同源策略是浏览器的一种安全功能，不同源(协议或域名或端口不同)之间不能相互读写。

　　跨域资源共享(CORS)：跨域资源共享(Cross Origin resource sharing)是一种机制，它使用额外的HTTP头来告诉浏览器，让运行在一个origin(domain)上的web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时，资源会发起一个跨域HTTP请求。

　　简单请求：该请求不会触发CORS预检请求，如：GET、HEAD方法请求。

　　 预检请求(OPTIONS)：“需预检的请求”要求必须首先使用OPTIONS方法发起一个预检请求到服务器，以获知服务器是否允许该实际请求，它的使用，可以避免跨域请求对服务器的用户数据产生未预期的影响，如：POST、DELETE等方法请求。

2. HTTP响应头字段

　　A. Access-Control-Allow-Origin: origin | * 

　　　　

 

可参考：HTTP访问控制