1、CORS (Cross-Origin Resource Sharing)
跨域资源共享,它是一种用在web程序中进行跨域资源访问的机制。
跨域资源访问是指在一个域名下的网页请求另一个域名下的资源,由于浏览器同源策略(Same Origin Policy)的限制,跨域资源访问就是为解决它。
同源策略是浏览器的一种安全策略,它限制了一个页面从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。同源指的是协议、域名、端口号都相同的。如果不满足同源条件、浏览器会阻止页面的JavaScript脚本访问不同源的资源,这种方式可以防止恶意网站通过JavaScript请求用户的敏感信息。
CORS允许服务器在响应中包含一个标头,指示哪些域名的web页面具有访问该服务器上的资源权限。通过使用CORS,服务器可以在HTTP响应头中包含Access-Control-Allow-Origin 标头,指定允许访问的域。
例如
Access-Control-Allow-Origin: https://example.com
这个表示只有来自 https://example.com 域的请求才被允许访问服务器上的资源。如果没有设置这个标头或设置为通配符 *,则表示允许任何域的请求。
CORS还包括其它的标头,用于处理不同类型的请求(比如带有身份验证信息的请求、自定义请求标头等)。这样有助于跨域资源访问的安全性,并且防止恶意网站滥用资源。