跨源资源共享(CORS)

什么是同源策略

https://www.cnblogs.com/poloyy/p/15345184.html

 

同源策略带来的跨域问题

  • 在前后端分离的项目中,前端和后端如果部署在同一个服务器,那么运行端口肯定不一样
  • 当前端发起请求到后端,这个时候发送的首先是 option 请求,而不是真正的请求
  • 后端拿到 option 请求后先判断有没有资格(权限),如果没有就会报错;如果有,则会继续请求你真正发起的请求
  • 一句话总结:在浏览器中运行的前端编写了和服务端通信的 JavaScript 代码,而服务端与前端处于不同“源”的情况

 

跨域的解决方法

  • 因为浏览器同源策略,也正是有了跨域限制,才使我们能安全的上网
  • 但是在实际开发中,有时候需要突破这样的限制,所以就诞生了 CORS

 

CORS

  • Cross-Origin Resource Sharing 跨域资源共享
  • 是一种基于 HTTP Headers 的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些跨域资源
  • CORS 还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求
  • 预检中,浏览器发送的 Headers 中标示有 HTTP 方法和真实请求中会用到的头

 

详细

  • CORS 标准新增了一组 HTTP Headers 字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源
  • 另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求
  • 服务器确认允许之后,才发起实际的 HTTP 请求
  • 在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)

 

更多详细教程可参考

还是很有必要看完一遍的

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

 

posted @ 2021-09-28 09:45  小菠萝测试笔记  阅读(1107)  评论(0编辑  收藏  举报