前言
CORS是一個W3C標准,全稱是"跨域資源共享"(Cross-origin resource sharing)。我們知道,用瀏覽器發送 http 請求(ajax)就存在跨域的問題,現在主流的解決跨域方案就是 CORS。
這里特別強調,我們經常說的跨域只是瀏覽器的限制,如果我們用腳本發送請求或者通過服務器請求,都不不會有跨域問題,這其中主要原因是瀏覽器使用門檻非常低,為了防止別有用心的人攻擊普通用戶,所以引入跨域策略
CORS簡介
CORS是 W3C 在2014年1月16日發布的一個正式推薦的通信標准,主要解決用戶代理的Web應用通過Ajax或者其他機制從另一個站點訪問資源、獲取數據的問題。
前提:服務端需要添加支持CORS的相關功能,即設定http的 Access-Control-Allow-Origin 允許的值
CORS的通信都由瀏覽器完成,不需要用戶參與。默認瀏覽都是通過Ajax通信,如果瀏覽器在發送請求時監測到當前請求跨域了,就會自動轉成CORS
CORS 和 Ajax 區別
CORS 和 Ajax 在發送請求時沒有任何區別,都是http請求,唯一區別就是 CORS 請求時,會在 http請求頭 header 中添加幾個關鍵詞,用來表示當前請求是跨域請求。
CORS的兩種請求模式
瀏覽器將CORS請求分成兩類:簡單請求和非簡單請求
-
簡單請求就是使用設定的請求方式請求數據
-
非簡單請求則是在使用設定的請求方式請求數據之前,先發送一個OPTIONS請求,看服務端是否允許客戶端發送非簡單請求.只有"預檢"通過后才會再發送一次請求用於數據傳輸
只要同時滿足以下兩大條件,就屬於簡單請求。
條件一:
請求方法是以下三種方法之一:
HEAD
GET
POST
條件二:
HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
簡單請求
簡單請求就是瀏覽器直接發送一個CORS請求(ajax請求)。發送之前,瀏覽器會給本次http請求添加一個請求頭 Origin
上面的頭信息中, Origin 字段用來說明,本次請求來自哪個源(協議 + 域名 + 端口)。服務器根據這個值,決定是否同意這次請求。
我們看一個時許圖(本人開發的一個在線時序圖工具 http://sizhuiit.com:9989/static/)
非簡單請求
非簡單請求就是再發送請求前先發送一個 OPTIONS 請求,提前檢測一下請求是否被允許,主要目的是為了防止跨域請求對后台數據的破壞或盜取,簡單請求安全性較低,服務器是處理了請求后再返回數據,非簡單請求模式下,服務器在提前檢測時不應該處理請求。