CORS 是什么?

本贴最后更新于 2143 天前,其中的信息可能已经时异事殊

2019-01-12

回答

CORS(Cross-Origin Resource Sharing)跨域资源共享使用额外的 HTTP 头来告诉浏览器,此站点已被授权可以访问来自服务器指定的不同域的资源。

http://mydomain.com Web 应用程序中使用 Ajax 请求 http://yourdomain.com 资源就是一个跨域请求的例子。

出于安全考虑,浏览器会阻止 JavaScript 发起的 HTTP 跨源请求。 XMLHttpRequestfetch 遵循了同源策略,这意味着使用这些 API 的 Web 应用程序只能从访问同域中的 HTTP 资源。想要通过这些 API 跨域访问资源就需要让跨域的域名被正确的包含在 CORS 头中。

加分回答

  • 跨域时需在请求头中加上 Origin。这样服务器接受到请求后会根据 Origin 检测结果在返回头中加入 Access-Control- 开头的字段。
  • 非简单请求的 CORS,会在正式请求之前,增加一次 HTTP 预检请求去询问服务器该域名是否在白名单之中,以及可以使用哪些 HTTP 动作和头信息字段。只有符合要求后,浏览器才会发出正式的 XMLHttpRequest 请求,否则就抛出异常。
  • CORS 行为并不是一个错误,他是保护用户安全的一种机制。
  • CORS 可以阻止用户不小心访问的恶意网站去请求一个合法网站的站点资源,这样用户在合法站点的个人数据不仅会被获取,而且还可能进行一些无中生有的操作。
  • JSONP 不仅支持跨域请求,而且还支持更多的浏览器。但他只支持 GET 请求。

返回总目录

每天 30 秒

  • 30Seconds

    📙 前端知识精选集,包含 HTML、CSS、JavaScript、React、Node、安全等方面,每天仅需 30 秒。

    • 精选常见面试题,帮助您准备下一次面试
    • 精选常见交互,帮助您拥有简洁酷炫的站点
    • 精选有用的 React 片段,帮助你获取最佳实践
    • 精选常见代码集,帮助您提高打码效率
    • 整理前端界的最新资讯,邀您一同探索新世界
    488 引用 • 384 回帖 • 9 关注
  • JavaScript

    JavaScript 一种动态类型、弱类型、基于原型的直译式脚本语言,内置支持类型。它的解释器被称为 JavaScript 引擎,为浏览器的一部分,广泛用于客户端的脚本语言,最早是在 HTML 网页上使用,用来给 HTML 网页增加动态功能。

    729 引用 • 1327 回帖
  • 面试

    面试造航母,上班拧螺丝。多面试,少加班。

    325 引用 • 1395 回帖 • 1 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
Vanessa
我们终此一生,就是要摆脱他人的期待,找到真正的自己。 昆明