跨域资源共享(CORS)
概念
跨域资源共享(CORS) 是一种机制:使用额外的HTTP头来告诉浏览器允许web应用访问不同源的资源。当web应用请求一个不同源 (domain, protocol, or port) 的资源时,会发起一个跨域 HTTP 请求。
跨域请求的示例,来自
https://domain-a.com的前端js代码使用XMLHttpRequest发起https://domain-b.com/data.json的请求
出于安全原因,浏览器限制从脚本发起的跨源 HTTP 请求。比如,XMLHttpRequest and the Fetch API 遵循 同源策略。除非响应里包含正确的CORS头
跨域资源共享通过让服务器添加新的HTTP headers来描述哪些源被允许访问资源。对那些可能对服务器数据产生副作用的 HTTP 请求方法,浏览器必须首先使用 OPTIONS 方法发起一个预检请求
CORS请求失败会产生错误,但是为了安全,在JavaScript代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。
简单请求
某些请求不会触发CORS preflight,称为简单请求。简单请求满足以下所有条件:
允许的methods
GETHEADPOST
允许手动设置的headers
DPRDownlinkSave-DataViewport-WidthWidth
Content-Type允许的值application/x-www-form-urlencodedmultipart/form-datatext/plain
示例
请求报文/响应报文
CORS preflight 跨域预检
预检请求
预检请求首先使用OPTION方法发起HTTP请求来确定实际请求是否安全。因为跨域请求可能对用户数据产生影响。
示例
注意:如下所述,实际 POST 请求不包括
Access-Control-Request-*headers;它们仅在OPTIONS 请求时需要。
预检请求
预检请求完成之后,发送实际请求
链接
Last updated
Was this helpful?