跨域验证cookie与缓存控制

Posted 2020-10-03 natsu07

1. 是否能跨域完全取决于浏览器控制，浏览器可以直接拒绝发送跨域请求（服务器根本收不到），也可以发送给服务器等接收到返回信息后决定是否让它被读取。

2. 服务器并不能辨别请求是从哪个源发过来的，只有在客户端能够知道，因此浏览器承担起了这个责任，对于跨域ajax请求会自动添加origin头部，让服务器能够知道请求来自一个陌生的源。如果服务器觉得该源可信任，需要在response-header中增加字段Access-Control-Allow-Origin，告诉浏览器可以让请求源读取返回的报文。（也就是说，服务器一定是会返回响应的，但如果没有跨域字段的授权，该响应被浏览器拦截，不会交到请求源手里。）

3. 如果自己编写一个浏览器，完全可以避开跨域的控制，这样服务器是无法分辨请求来自哪里的，因此对于重要资源，服务器端还应另外增加验证措施（如cookie或指令等），不能完全依靠浏览器。

应用场景：代理请求到线上服务器请求数据(从Localhost: 源发送的)，会遇到跨域用户验证的问题。

4.客户端的脚本也可以做一些简单验证，前端路由可以在请求发送前，重定向未通过验证的页面(如重定向到登陆页面，被中断的导航实际是没有发送请求的)，没有在前端js里控制的url（如一些请求JSON的接口url），是不能通过前端验证登陆状态的。

5.由服务器通过response-header中set-cookie而写入的cookie会有httponly属性，通过js是无法操作读写的，而js可以写入新的cookie，在下次发送请求时在request-header中一并发送给服务器。

6.缓存控制。request和response的header中都会有cache-control，response中的表示授意浏览器的操作，request中的表示浏览器本次的实际操作。如ctrl+F5(或控制台设置disabled cache后) 发送的request head里就会有cache-control:no-cache，表示本次请求浏览器不使用缓存，类似还有cache-control:max-age=0，表示本次将与服务器协商。