跨域的简单理解

跨域限制是浏览器端的限制，也是浏览器出于安全考虑，需要服务端共同参与，来保障网页信息的安全。

跨域限制的原因：AJAX同源策略主要用来防止CSRF攻击。如果没有AJAX同源策略，相当危险，我们发起的每一次HTTP请求都会带上请求地址对应的cookie，那么可以做如下攻击：用户登录了自己的银行页面 mybank.com，mybank.com向用户的cookie中添加用户标识。用户浏览了恶意页面 evil.com。执行了页面中的恶意AJAX请求代码。evil.com向mybank.com发起AJAX HTTP请求，请求会默认把mybank.com对应cookie也同时发送过去。银行页面从发送的cookie中提取用户标识，验证用户无误，response中返回请求数据。此时数据就泄露了。而且由于Ajax在后台执行，用户无法感知这一过程。

在页面A中，只要向domain B发送AJAX请求，那么就会携带B保存在浏览器的cookie信息，不管这个cookie是在访问哪个页面时候保存的。

浏览器能做的就是发现跨越请求后，在request header中增加一个标识，用来提醒服务端。浏览器直接发出CORS请求。具体来说，就是在头信息之中，增加一个Origin字

段。下面是一个例子，浏览器发现这次跨源AJAX请求是简单请求，就自动在头信息之中，添加一个Origin字段。

​
GET /cors HTTP/1.1

Origin: http://api.bob.com

Host: api.alice.com

Accept-Language: en-US

Connection: keep-alive

User-Agent: Mozilla/5.0...

​

上面的头信息中，Origin字段用来说明，本次请求来自哪个源（协议 + 域名 + 端口）。服务器根据这个值，决定是否同意这次请求。

如果Origin指定的源，不在许可范围内，服务器会返回一个正常的HTTP回应。浏览器发现，这个回应的头信息没有包含Access-Control-Allow-Origin字段（详见下文），就知道出错了，从而抛出一个错误，被XMLHttpRequest的onerror回调函数捕获。注意，这种错误无法通过状态码识别，因为HTTP回应的状态码有可能是200。

如果Origin指定的域名在许可范围内，服务器返回的响应，会多出几个头信息字段。

​
Access-Control-Allow-Origin: http://api.bob.com

Access-Control-Allow-Credentials: true

Access-Control-Expose-Headers: FooBar

Content-Type: text/html; charset=utf-8

​

所以对于跨域请求的应对，也需要服务器端的配合。服务器端如果配合的在response中增加了Access-Control-Allow-Origin信息，就是告诉浏览器服务器允许跨域，浏览器才会显示这些数据。如果服务器端没有考虑跨域，没有加Access-Control-Allow-Origin，但是还是正常返回了数据，这种情况下浏览器还是会error，因为没有检测到允许跨域信息。浏览器的意思是，不管你服务器端是否关心，反正在浏览器的地盘，没有明确的得到你服务器的同意，我就不显示你的数据。

为了获取用户的银行数据，那直接用Postman调用银行的接口不就行了吗？但是这样的话，你没有cookie呀，银行不认。