CORS（跨源资源共享）---初步理解1

 

CORS（跨源资源共享）是一种网络浏览器的安全功能，它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。CORS背后的主要思想是使用额外的HTTP头部来告诉浏览器，一个来自不同源的请求是被允许的。这使得浏览器能够执行跨域请求，而不会受到同源策略的限制。

CORS的详细工作原理如下：

1. 预检请求：当浏览器发送一个跨域请求时，如果请求的方法不是简单的GET、HEAD或POST请求，或者如果请求包含了某些特定的HTTP头部（如自定义头部），浏览器会先发送一个OPTIONS请求到服务器，以询问是否允许进行实际的跨域请求。这个OPTIONS请求被称为预检请求。
2. 响应头部：服务器在接收到预检请求后，会检查请求的源，并决定是否允许这个跨域请求。如果允许，服务器会在响应中包含一些CORS相关的HTTP头部，如Access-Control-Allow-Origin、Access-Control-Allow-Methods和Access-Control-Allow-Headers等。这些头部告诉浏览器，哪些源、方法和头部是允许的。
3. 实际请求：如果预检请求成功（即服务器返回了合适的CORS头部），浏览器会发送实际的跨域请求。此时，浏览器会根据服务器返回的CORS头部来决定是否允许该请求。
4. 凭据请求：如果跨域请求需要包含用户的凭据（如cookies或HTTP认证），浏览器会额外发送一个带有Access-Control-Allow-Credentials: true头部的请求。服务器在响应中也必须包含这个头部，并且Access-Control-Allow-Origin的值不能是*，而必须是请求的确切来源。

CORS的应用场景非常广泛，包括但不限于：

• 前端开发：在前端开发中，经常需要从不同源的API获取数据。使用CORS，可以安全地在浏览器中执行这些跨域请求。
• 第三方资源引入：在网页中引入第三方资源（如字体、图片或视频）时，CORS可以确保这些资源的完整性和安全性。
• 单点登录：在单点登录场景中，CORS可以确保跨站点之间的认证和授权信息的安全传输。

CORS的优点包括：

• 遵循W3C标准，易于理解和实现。
• 配置简单，只需在服务器端添加相应的响应头即可。
• 支持各种HTTP请求方法。

然而，CORS也有一些缺点：

• 为了安全考虑，浏览器会进行预检查请求，这可能会增加一定的服务器负担和请求时间。
• 只支持浏览器的XMLHttpRequest或Fetch API请求。

总的来说，CORS为开发者提供了一种方便且安全的方式来处理跨域请求，使得不同源的网站和服务能够相互通信和共享资源。