跨域
指的是浏览器不能执行其他网站的脚本。
它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全措施。
跨域流程
非简单请求(PUT、DELETE)等,需要先发送预检请求
解决跨域① : 使用nginx部署为同一域
解决跨域② : 配置档次请求允许跨域
添加响应头:
- Access-Control-Allow-Origin:支持哪些来源的请求跨域
- Access-Control-Allow-Methods:支持哪些方法跨域
- Access-Control-Allow-Credentials:跨域请求默认不包含cookie,设置为true可以包含cookie
- Access-Control-Expose-Headers:跨域请求暴露字段
CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:
Cache-Control、Content-Language、Content-Type、Expires、Last-Modifies、Pragma。
如果想拿到其他字段,就需要在Access-Control-Expose-Headers里面指定。 - Access-Control-Max-Age:表明该响应的有效时间为多少秒。在有效时间内,浏览器无须为同一个请求再次发起预检请求。
请注意:浏览器自身维护了一个最大有效时间,如果该首部字段的值超过了最大有效时间,将不会生效。