跨源资源共享（CORS）

什么是同源策略

https://www.cnblogs.com/poloyy/p/15345184.html

 

同源策略带来的跨域问题

• 在前后端分离的项目中，前端和后端如果部署在同一个服务器，那么运行端口肯定不一样
• 当前端发起请求到后端，这个时候发送的首先是 option 请求，而不是真正的请求
• 后端拿到 option 请求后先判断有没有资格(权限)，如果没有就会报错；如果有，则会继续请求你真正发起的请求
• 一句话总结：在浏览器中运行的前端编写了和服务端通信的 JavaScript 代码，而服务端与前端处于不同“源”的情况

 

跨域的解决方法

• 因为浏览器同源策略，也正是有了跨域限制，才使我们能安全的上网
• 但是在实际开发中，有时候需要突破这样的限制，所以就诞生了 CORS

 

CORS

• Cross-Origin Resource Sharing 跨域资源共享
• 是一种基于 HTTP Headers 的机制，该机制通过允许服务器标示除了它自己以外的其它origin（域，协议和端口），这样浏览器可以访问加载这些跨域资源
• CORS 还通过一种机制来检查服务器是否会允许要发送的真实请求，该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求
• 在预检中，浏览器发送的 Headers 中标示有 HTTP 方法和真实请求中会用到的头

 

详细

• CORS 标准新增了一组 HTTP Headers 字段，允许服务器声明哪些源站通过浏览器有权限访问哪些资源
• 另外，规范要求，对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求），浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨源请求
• 服务器确认允许之后，才发起实际的 HTTP 请求
• 在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证（包括 Cookies 和 HTTP 认证相关数据）

 

更多详细教程可参考

还是很有必要看完一遍的

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS