注:本文不讲CORS原理,且默认你已了解CORS,但对其中一些细节抱有同样的怀疑
同源策略
浏览器的同源策略自其诞生以来就一直存在,如何进行跨域Hack,一代又一代的前后端都为此费尽了心机。
首先可以肯定的是,同源策略的限制是合理的。因为,服务端后台接口就部署在那,任何人只要构造了一个正确的HTTP请求,都能得到服务器的应答。但很显然,我们不希望我们的接口任何人都能访问(事实上,因为大家采用的都是同一套HTTP标准,所以你永远也无法杜绝这件事的发生)。还有一个更直接的理由,越多人知道你的接口,你的接口就越危险。
但是既然存在跨域的普遍呼声,那么这个需求也是合理的。所以一个新的跨域规范诞生了,再也不需要丑陋的JSONP,更不需要域内代理浪费资源。这个规范叫,CORS(Cross-Origin-Resource-Sharing)-跨域资源共享。CORS需要服务端与客户端同时支持,客户端就是指浏览器,目前所有浏览器最新版本都已支持,如下图所示:
服务端的支持,常规做法是,在代码中用全局拦截器做处理。
一个潜伏了数十年的毒瘤
在讲服务器的支持逻辑之前,先讲个扩展话题。浏览器限制跨域请求,实际上有两种方式:
---请求正常发起,拦截返回数据
---在请求发起前拦截住
事