Node.js学习-16跨域解决方法1----CORS

一、什么是cors

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。

它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能
同源使用的限制。

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

浏览器端：

目前，所有浏览器都支持该功能（IE10以下不行）。整个CORS通信过程，都是
浏览器自动完成，不需要用户参与。

服务端：

CORS通信与AJAX没有任何差别，因此你不需要改变以前的业务逻辑。只不过，浏览器会在请求中携带一些头信息，我们需要以此判断是否运行其跨域，
然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。

二、原理

简单请求
只要同时满足以下两大条件，就属于简单请求。：

（1) 请求方法是以下三种方法之一：

HEAD
GET
POST
（2）HTTP的头信息不超出以下几种字段：

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三个值application/x-www-form-
urlencoded、multipart/form-data、text/plain

当浏览器发现发启的ajax请求是简单请求时，会在请求头中携带一个字段：
Origin.

Origin中会指出当前请求属于哪个域（协议+域名+端口）。服务会根据这个值
决定是否允许其跨域。

如果服务器允许跨域，需要在返回的响应头中携带下面信息：

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8
Access-Control-Allow-Origin：可接受的域，是一个具体域名或者*，代表任意
Access-Control-Allow-Credentials：是否允许携带cookie，默认情况下，cors不会
携带cookie，除非这个值是true
注意：

如果跨域请求要想操作cookie，需要满足3个条件：

服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
浏览器发起ajax需要指定withCredentials 为true
响应头中的Access-Control-Allow-Origin一定不能为*，必须是特定的域名

核心代码：
如果服务器允许跨域，需要在返回的响应头（被请求数据的网址）中携带下面信息：

 res.setHeader("Access-Control-Allow-Origin", "http://192.168.56.1:8081")   //授权http://192.168.56.1:8081共享我的数据
    // res.setHeader("Access-Control-Allow-Origin", "*")  用于开发阶段，大家都可以跨域用ajax请求我的数据