CORS是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其他origin(域、协议和端口),这样浏览器可以访问加载这些资源。
跨域资源共享通过一种机制来检查服务器是否会允许要发送的真实请求;该机制通过浏览器发起一个到服务器托管的跨源资源的**“预检”请求**;
在预检中,浏览器发送的头中标示有HTTP方法和真实请求中用到的头;
CORS请求中分为简单请求和非简单请求:
简单请求:
- 不会触发CORS预检请求;
- 简单请求的条件:
GET、HEAD、POST方法
Content-Type 的值仅限于下列三者之一:
- text / plain
- multipart / form-data
- application / x-www-form-urlencoded
非简单请求:
- 非简单请求需要进行一次预检请求;预检请求必须使用
OPTIONS
方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求;“预检请求”的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。- 浏览器检测到:从JS 中发起的请求需要被预检,便使用
OPTION方法
发送预检请求,该方法不会对服务器资源产生影响;预检请求中同时携带下面两个首部字段,服务器据此决定,该实际请求是否被允许。
- Access-Control-Request-Method:POST
- Access-Control-Request-Headers: X-PINGOTHER, Content-type
预检请求的响应,表明服务器将接受后续的实际请求。
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400
Access-Control-Max-Age表明该响应的有效时间为86400秒,也就是24小时;在有效时间内,浏览器无需为同一请求再次发送预检请求
一、HTTP请求方法介绍
POST:非幂等;(新增或者修改)
PUT、DELETE:幂等;(修改 / 删除)
幂等是一个数学与计算机学概念;幂等操作的特点是:任意多次执行产生的影响均与一次执行的影响相同;幂等方法是指可以使用相同参数重复执行,并获得相同结果的函数。这些函数不会影响系统状态,也不用担心重复执行会对系统造成改变;
1、HEAD
HEAD
方法与GET
方法一样,都是向服务器发出指定资源的请求。但是,服务器在响应HEAD请求时不会回传资源的内容部分,即:响应主体。这样,我们可以不传输全部内容的情况下,就可以获取服务器的响应头信息,HEAD
方法常被用于客户端查看服务器的性能。
2、POST
POST
请求会向指定资源提交数据,请求服务器进行处理;如:表单数据提交、文件上传等;请求数据会被包含在请求体中;POST
方法是 非幂等
的方法,因为这个请求可能会创建新的资源和 / 或 修改现有资源。(简单来说,就是修改资源或者新加资源)
3、PUT
PUT
请求会向指定资源位置上传其最新内容,PUT
方法是幂等
的方法;通过该方法,客户端可以将指定资源的最新数据传送给服务器取代指定的资源的内容。(简单来说:就是修改资源)
4、DELETE
DELETE
请求用于请求服务器删除URI标识的资源,DELETE请求后,制定资源会被删除,DELETE
方法也是幂等的。
5、CONNECT
CONNECT
方法是 HTTP/1.1
协议预留的,能够将连接改为管道方式的代理服务器;通常用于SSL加密服务器的链接与非加密的HTTP代理服务器的通信。
6、OPTIONS
OPTIONS
请求与 HEAD
类似,一般也用于客户端查看服务器的性能;这个请求会请求服务器返回资源所支持的所有HTTP请求方法,向服务器发送OPTIONS
请求,可以测试服务器功能是否正常(CORS跨域资源共享时,就是使用OPTIONS方法发送预检请求,以判断是否有对指定资源的访问权限)。