文章目錄
跨域解決方案CORS
CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。CORS需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,IE瀏覽器不能低於IE10。
它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。對於開發者來說,CORS通信與同源的AJAX通信沒有差別,代碼完全一樣。瀏覽器一旦發現AJAX請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感覺。因此,實現CORS通信的關鍵是服務器。只要服務器實現了CORS接口,就可以跨源通信。
請求過程如下圖:
cart-web
1.Access-Control-Allow-Origin字段:
Access-Control-Allow-Origin是HTML5中定義的一種解決資源跨域的策略
是通過服務器端返回帶有Access-Control-Allow-Origin標識的Response header,用來解決資源的跨域權限問題
使用方法,在response添加 Access-Control-Allow-Origin
例如:Access-Control-Allow-Origin:www.google.com
也可以設置爲 * 表示該資源誰都可以用
> 2.Access-Control-Allow-Credentials字段
CORS請求默認不發送Cookie和HTTP認證信息。如果要把Cookie發到服務器,
一方面要服務器同意,指定Access-Control-Allow-Credentials字段。
另一方面,開發者必須在AJAX請求中打開withCredentials屬性。
否則,即使服務器同意發送Cookie,瀏覽器也不會發送。或者,服務器要求設置Cookie,瀏覽器也不會處理。
page-web
前端跨域設置 withCredentials: true