2019-01-12
回答
CORS(Cross-Origin Resource Sharing)跨域资源共享使用额外的 HTTP 头来告诉浏览器,此站点已被授权可以访问来自服务器指定的不同域的资源。
从 http://mydomain.com
Web 应用程序中使用 Ajax 请求 http://yourdomain.com
资源就是一个跨域请求的例子。
出于安全考虑,浏览器会阻止 JavaScript 发起的 HTTP 跨源请求。 XMLHttpRequest
和 fetch
遵循了同源策略,这意味着使用这些 API 的 Web 应用程序只能从访问同域中的 HTTP 资源。想要通过这些 API 跨域访问资源就需要让跨域的域名被正确的包含在 CORS 头中。
加分回答
- 跨域时需在请求头中加上
Origin
。这样服务器接受到请求后会根据Origin
检测结果在返回头中加入Access-Control-
开头的字段。 - 非简单请求的 CORS,会在正式请求之前,增加一次 HTTP 预检请求去询问服务器该域名是否在白名单之中,以及可以使用哪些 HTTP 动作和头信息字段。只有符合要求后,浏览器才会发出正式的
XMLHttpRequest
请求,否则就抛出异常。 - CORS 行为并不是一个错误,他是保护用户安全的一种机制。
- CORS 可以阻止用户不小心访问的恶意网站去请求一个合法网站的站点资源,这样用户在合法站点的个人数据不仅会被获取,而且还可能进行一些无中生有的操作。
- JSONP 不仅支持跨域请求,而且还支持更多的浏览器。但他只支持
GET
请求。