CORS是什么?
CORS(Cross-Origin Resource Sharing)跨域资源共享,是一种允许浏览器从一个域名访问另一个域名下资源的机制。CORS解决了Ajax请求跨域的限制,使得Web应用可以跨域访问其他域名下的资源。
在跨域请求时,浏览器会先向目标服务器发送一个OPTIONS请求,该请求包含了实际请求所需要的方法、头信息等,目标服务器根据这个请求返回一个响应头,告诉浏览器实际请求是否被允许。如果被允许,浏览器才会继续发送实际的请求。
CORS实现了一种安全的跨域访问机制,通过在请求头中添加Origin字段,目标服务器可以判断是否允许该请求访问资源。如果允许,目标服务器在响应头中添加Access-Control-Allow-Origin字段,告诉浏览器可以跨域访问该资源。
网络请求产生跨域的情况有以下几种:
-
协议不同:如从http协议的页面向发送https协议的请求,或者反之。
-
域名不同:如从a.com的页面向发送b.com的请求。
-
端口不同:如从a.com:8080的页面向发送a.com:8888的请求。
-
子域名不同:如从www.a.com的页面向发送api.a.com的请求。
-
跨域限制:如浏览器的同源策略限制,在同域名下的不同端口、不同协议、不同子域名等都会产生跨域。