跨源资源共享(CORS)
什么是同源策略
https://www.cnblogs.com/poloyy/p/15345184.html
同源策略带来的跨域问题
- 在前后端分离的项目中,前端和后端如果部署在同一个服务器,那么运行端口肯定不一样
- 当前端发起请求到后端,这个时候发送的首先是 option 请求,而不是真正的请求
- 后端拿到 option 请求后先判断有没有资格(权限),如果没有就会报错;如果有,则会继续请求你真正发起的请求
- 一句话总结:在浏览器中运行的前端编写了和服务端通信的 JavaScript 代码,而服务端与前端处于不同“源”的情况
跨域的解决方法
- 因为浏览器同源策略,也正是有了跨域限制,才使我们能安全的上网
- 但是在实际开发中,有时候需要突破这样的限制,所以就诞生了 CORS
CORS
- Cross-Origin Resource Sharing 跨域资源共享
- 是一种基于 HTTP Headers 的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些跨域资源
- CORS 还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求
- 在预检中,浏览器发送的 Headers 中标示有 HTTP 方法和真实请求中会用到的头
详细
- CORS 标准新增了一组 HTTP Headers 字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源
- 另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是
GET以外的 HTTP 请求,或者搭配某些 MIME 类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求 - 服务器确认允许之后,才发起实际的 HTTP 请求
- 在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)
更多详细教程可参考
还是很有必要看完一遍的
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
