CORS使用Access-Control-Allow-Origin来允许跨域请求
因为浏览器的同源策略,浏览器只允许请求当前域的资源,而对其他域的资源以不信任的态度处理。JSONP是可以解决跨域的一些问题,
但JSONP只支持GET请求而不支持POST,因此还是有限,而使用Access-Control-Allow-Origin可以应对各种跨域请求(在服务器端nginx去配置)。
CORS全称跨域资源共享(Cross-origin resource sharing),这是W3C的标准,即是使用Access-Control-Allow-Origin来允许跨域请求,
对这种请求也有标准的处理流程。
对于跨域的请求,浏览器端先向目标服务器发送OPTION请求判断请求头中是否存在Access-Control-Allow-Origin头信息,
Access-Control-Allow-Origin是允许跨域请求的标志。如果没有,浏览器就会报错
No Access-Control-Allow-Origin header is present on the requested resource
Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com'
has been blocked by CORS policy: Response to preflight request
doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
因为此时浏览器向目标服务器发送了OPTION请求并携带access-control-request-method和access-control-request-header
告诉目标服务器它的请求方式和所要发送的头信息,检测目标服务器是否准许,示例如下:
Request Method: OPTIONS
access-control-request-headers: content-type,cookies
access-control-request-method: POST
需要注意的是:Access-Control-Allow-Origin 可以设置为*,但是如果设置为*,则跨域请求不会携带cookie,所以如果需要传输cookie,
还是需要有目的允许一些跨域来源地址。
Access-Control-Allow-Credentials表示允许携带认证信息(cookies)
Access-Control-Allow-Methods 不必说,可按需要开放哪些请求方式。
Access-Control-Allow-Headers 表示允许的请求头信息。比如如果这个字段中没有Cookie而同时又需要传输cookie的话,就会报下面的错误:
Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by
CORS policy: Request header field cookies is not allowed by Access-Control-Allow-Headers in preflight response。
这一步的OPTION请求OK的话,浏览器才会正式执行跨域的请求。上面服务端响应头信息的时候,注意看到最后都带了一个always标志。
如果服务端修改后仍没有响应所需要的头信息的时候,可以在最后加个always试试,挺好用。