跨域资源共享

## 跨域资源共享

CORS是什么

跨域资源共享。新增了一组HTTP首部字段，允许服务器声明哪些源站有权限访问哪些资源，浏览器首先使用OTIONS方法发起一个预检请求，从而获知服务端是否允许该跨域请求，服务端确认允许后，才发起实际的HTTP请求，在预检请求的返回中，服务器端也可以通知客户端，是否需要携带身份凭证

• 应用于三个场所：简单请求、预检请求、认证请求

简单请求是什么

满足下列条件便是：

• 使用下列请求方法之一：GET、POST或HEAD
• 不得人为设置下列集合之外的其它首部字段：Accept、Accept-Language、Content-Language、Content-Type
• Content-Type仅限于下列之一
• text/plain
• multipart/form-data
• application/x-www-form-urlecoded
  注意：这些跨域请求与浏览器发出的其它跨域请求并无二致。如果服务器未返回正确的响应首部，则请求方不会收到任何数据。因此，那些不允许跨域请求的网站无需为这一新的HTTP访问控制特别担心

预检请求是什么

• 使用下列方法之一：PUT、DELETE、CONNECT、OPTIONS、TRACE、或PATH
• 不得人为设置下列集合之外的其它首部字段：Accept、Accept-Language、Content-Language、Content-Type
• Content-Type仅限于下列之一
• text/plain
• multipart/form-data
• application/x-www-form-urlecoded
  预检请求要求必须首先使用OPTIONS方法发起一个预请求到服务器，以获知服务器是否允许该实际请求
  预检请求可以避免跨域请求对服务器的用户数据产生未预期的影响

请求消息

请求消息实例

• 请求首部字段Access-Control-Request-Method表示该请求使用POST方法
• 请求首部字段Access-Control-Request-Headers表示该请求携带X-PINGOTHER首部字段

响应消息

• 响应首部字段Access-Control-Allow-Method表示允许POST、GET和OPTIONS请求方法
• 响应首部字段Access-Control-Allow-Headers表示允许请求携带首部字段X-PINGOTHER
• 响应首部字段Access-Control-Max-Age表示设置响应有效时间为1728000

认证请求是什么

基于HTTP Cookie和HTTP认证信息发送身份凭证，一般而言，对于跨域XMLHttpRequest请求，浏览器不会发送身份凭证信息，如果要发送凭证信息，需要设置XMLHTTPRequest的某个特殊标志位

XMLHttpRequest.withCredentials = true

将XMLHTTPRequest的withCredentials标志设置成true，使得向服务器发送Cookie，服务器返回响应首部字段Access-Control-Allow-Credentials：true

如果服务器端的响应中未携带Acces-Controls-Allow-Credentials：true，浏览器将不会把响应内容返回给请求的发送者