1>原理
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制,需要服务器和浏览器共同支持,但是目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。所以实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
2>为什么要验证
基于CSRF(跨站请求伪造)的风险,各主流浏览器会对动态的跨域请求进行特殊的验证处理,验证处理分为简单请求验证处理和预先请求验证处理。
2>触发简单请求与预先请求的条件
只要同时满足以下两大条件,就属于简单请求,凡是不同时满足两个条件,就属于预先请求。
1)请求方法是以下三种方法之一:GET,POST,HEAD
2)HTTP的头信息不超出以下几种字段:Accept,Accept-Language,Content-Language,Last-Event-ID,
Content-Type(只限于三个值application/x-www-form-urlencoded multipart/form-data、text/plain)
3>简单请求
浏览器直接发出CORS请求,它会在头信息之中,增加一个Origin字段(表示请求来自哪个源),表明这是一个跨域请求。
服务器接收到请求后,根据自己的跨域规则,决定是否同意这次请求。
如果Origin指定的域名在许可范围内,服务器返回的响应会在头信息里多几个字段,来返回验证结果,如果验证成功会直接返回访问的资源内容。
如果Origin指定的源不在许可范围内,服务器会返回一个正常的HTTP回应,但是回应的头信息没有包含Access-Control-Allow-Origin字段,浏览器就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。(返回403状态码:服务器理解客户端的请求,但是拒绝执行此任务)
Access-Control-Allow-Origin:该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Credentials:该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。
Access-Control-Expose-Headers:该字段可选。CORS请求时想非基本字段,就必须在Access-Control-Expose-Headers里面指定
4>预先请求
是在正式通信之前,增加一次HTTP查询请求,就是"预检"请求。
"预检"请求用的请求方法是OPTIONS是用来询问的要被跨域访问的服务器,是否允许当前域名下的页面发送跨域请求。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。(403错误)
头信息里面关键字段是Origin(表示请求来自哪个源)。服务器收到"预检"请求以后,检查了Origin、Access-Control-Request-Method(该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法)和Access-Control-Request-Headers(该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段)字段以后,确认允许跨源请求,就可以做出回应。