cross-origin resource sharing (CORS) 跨域资源共享,是一种使用额外HTTP首部实现跨域获取资源权限的机制。
XMLHttprequest获取非同源资源会被浏览器拦截。
CORS分类:
1、简单请求
2、预检请求
简单请求:
1、使用下列方法之一:
GET POST HEAD
2、content-Type值为下列之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
等……
除了正常发起请求外,若想实现cors跨域,还需要服务器配置正确的响应首部。否则无法获取
access-contral-allow-origin: *(localhost) 访问控制允许源
预检请求:
“需预检的请求”要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。
"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。
当请求满足下述任一条件时,即应首先发送预检请求:
1、使用非GET POST HEAD方法
2、content-Type值不为下列之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
3、人为设置了 CORS 安全的首部字段集合之外的首部字段,如人为的写一个。
CORS 安全的首部字段集合:https://fetch.spec.whatwg.org/#cors-safelisted-request-header
发起POST请求,人为设置了X-user:aimee字段,则需要预检请求。
要求服务器设置正确字段。
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS//了实际请求所允许使用的 HTTP 方法
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type//请求中允许携带的首部字段
Access-Control-Max-Age: 86400//请求的结果能够被缓存
其他: 预检过一次,后面的就不预检了。