浏览器跨域问题与解法

• 问题引入：什么是跨域

请求违反了同源策略（协议、域名、端口有一个不同），就是跨域。

在浏览器访问网站时 协议、域名、端口 都是确定的。如果目标资源中的协议、域名、端口有一个不同，就会产生跨域问题（浏览器会拦截该资源）。

• 问题解决：CORS 方案

CORS 方案是一种服务器端解决跨域问题的方式，其核心思想是在响应头中设置 Access-Control-Allow-* 相关的头部。使用 Nginx 解决跨域问题时，增加配置：

location /api {
    set $cors_origin "";
    if ($http_origin ~* "^https://(a|b).example.com$") {
        set $cors_origin $http_origin;
    }
    add_header 'Access-Control-Allow-Origin' '$cors_origin';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Allow-Origin' '$cors_origin';
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        add_header 'Content-Length' 0;
        return 204;
    }
}

这段代码中，/api 表示要解决跨域问题的接口地址，add_header 用于添加 Access-Control-Allow-* 相关的头部，其中 Access-Control-Allow-Origin 字段中，值为 * 表示允许所有来源的跨域请求，$cors_origin 表示允许匹配域名的跨域请求。

• 响应头中设置 Access-Control-Allow-* 相关的头部 的作用

HTTP 响应头中的 Access-Control-Allow-* 相关的头部用于在 CORS（Cross-Origin Resource Sharing，跨域资源共享）机制中向浏览器返回响应，告诉浏览器当前请求是一个跨域请求，并且服务器愿意接收来自其他域的请求。

具体而言，这些头部可以控制以下几个方面：

    Access-Control-Allow-Origin：设置允许跨域访问的来源，可以是单个域名，也可以是带通配符的模式，如 "*"。
    Access-Control-Allow-Methods：设置允许跨域请求的 HTTP 方法，如 GET、POST、DELETE 等。
    Access-Control-Allow-Headers：设置允许跨域请求的请求头字段，包括自定义字段。
    Access-Control-Expose-Headers：设置浏览器能够访问到的响应头字段。
    Access-Control-Allow-Credentials：指示浏览器是否可以携带 Cookie 等身份凭证信息。

通过设置这些头部信息，服务器可以告诉浏览器当前请求是否符合跨域安全策略，以及服务器是否接受该请求，并可以在必要时返回响应结果。