xhr.js?ec6c:178 Cross-Origin Read Blocking (CORB) blocked cross-
xhr.js吗?ec6c:178跨源读取阻塞(CORB)阻塞交叉-
前端要用代理
后端cors解决
跨域问题的产生背景
早期为了防止CSRF(跨域请求伪造)的攻击,浏览器引入了同源策略(SOP)来提高安全性。
CSRF(Cross-site request forgery),跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 —— 浅谈CSRF 攻击方式
而所谓"同源策略",即同域名(domain或ip)、同端口、同协议的才能互相获取资源,而不能访问其他域的资源。在同源策略影响下,一个域名A的网页可以获取域名B下的脚本,css,图片等,但是不能发送Ajax请求,也不能操作Cookie、LocalStorage等数据。同源策略的存在,一方面提高了网站的安全性,但同时在面对前后端分离、模拟测试等场景时,也带来了一些麻烦,从而不得不寻求一些方法来突破限制,获取资源。
CORS
"跨域资源共享"(Cross-origin resource sharing)是W3C出的一个标准。兼容性方面可以支持IE8+(IE8和IE9需要使用XDomainRequest对象来支持CORS),所以现在CORS也已经成为主流的跨域解决方案。
CORS的核心思想是通过一系列新增的HTTP头信息来实现服务器和客户端之间的通信。所以,要支持CORS,服务端都需要做好相应的配置,这样,在保证安全性的同时也更方便了前端的开发。
浏览器会将CORS请求分为两类:简单请求和非简单请求:
简单请求
在CORS标准中,会根据是否触发CORS preflight(预请求)来区分简单请求和非简单请求。
简单请求需要满足以下几个条件:
1.请求方法只允许:GET,HEAD,POST
2.对于请求头字段有严格的要求,一般情况下不会超过以下几个字段:
- Accept
- Accept-Language
- Content-Language
- Content-Type
3.当发起POST请求时,只允许Content-Type为application/x-www-form-urlencoded,multipart/form-data,text/plain。
对于简单请求来说,服务器和客户端之间的通信只是进行简单的交换。如图: