http跨域问题处理之CORS

如何算跨域

首先,跨域属于浏览器的行为,服务与服务之间不会产生跨域问题。当一个请求url的协议、域名、端口三者之间任意一个与当前页面的不同即为跨域。

在CORS之前的解决方法是在同域内做一个代理,或者使用JSON-P等。随着跨域请求的应用越来越多,W3C提供了跨域请求的标准方案--- CORS模型(Cross-Origin Resource Sharing)。目前主流浏览器均支持CORS。

CORS分为两种请求,简单请求和预检请求:

当请求满足下述任一条件时,即首先发送预检请求:

使用了下面任一 HTTP 方法的:
PUT
DELETE
CONNECT
OPTIONS
TRACE
PATCH

人为设置了对 CORS 安全的首部字段集合(以下集合)之外的其他首部字段
Accept
Accept-Language
Content-Language
Content-Type (but note the additional requirements below)
DPR
Downlink
Save-Data
Viewport-Width
Width

Content-Type 的值不属于下列之一的:
application/x-www-form-urlencoded
multipart/form-data
text/plain

简单请求:

Javascript先发出跨域请求,然后检查response的‘Access-Control-Allow-Origin’头。如果这个头被设置为‘*‘或者和request头部的origin字段相同,则允许该外域访问,则Javascript可以读取这个回复,否则就被禁止访问。

预检请求:

先向外域服务器发送预检验请求,如果回复的头部允许访问,则发送跨域请求,否则禁止。

参考文档

简单请求和预检请求的request规则和服务端的response规则可以参考W3C的文档第6.1条和第6.2条:
https://www.w3.org/TR/cors/#resource-requests
这个文档基本上已经讲得很清楚,也很权威了。

你可能感兴趣的:(http,http)