因为浏览器的同源策略,浏览器只允许请求当前域的资源,而对其他域的资源以不信任的态度处理。JSONP是可以解决跨域的一些问题,但JSONP只支持GET请求而不支持POST,因此还是有限,而使用Access-Control-Allow-Origin可以应对各种跨域请求。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
CORS全称跨域资源共享(Cross-origin resource sharing),这是W3C的标准,即是使用Access-Control-Allow-Origin来允许跨域请求,对这种请求也有标准的处理流程。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
对于跨域的请求,浏览器端先向目标服务器发送OPTION请求判断请求头中是否存在Access-Control-Allow-Origin头信息,Access-Control-Allow-Origin是允许跨域请求的标志。如果没有,浏览器就会报错No Access-Control-Allow-Origin header is present on the requested resource本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
因为此时浏览器向目标服务器发送了OPTION请求并携带access-control-request-method和access-control-request-headers告诉目标服务器它的请求方式和所要发送的头信息,检测目标服务器是否准许,示例如下:本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
Request Method: OPTIONS access-control-request-headers: content-type,cookies access-control-request-method: POST本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
而如果这个OPTION请求未得到200响应的话,则浏览器不会进行下一步。且会报错It does not have HTTP ok status:本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status。即服务器必须在OPTION请求中响应200状态,并且允许使用的headers和method。此时需要对目标服务器的nginx处理添加一些头信息如下,不一定全部都需要。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
add_header Access-Control-Allow-Origin "https://04007.com'" always; add_header Access-Control-Allow-Headers "Content-type,Origin,X-Auth-Token,X-JSON,Cookies,Cookie,Content-Length" always; add_header Access-Control-Allow-Methods "GET,POST,OPTIONS" always; add_header Access-Control-Allow-Credentials "true" always; add_header Access-Control-Max-Age "86400" always;本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
需要注意的是:Access-Control-Allow-Origin 可以设置为*,但是如果设置为*,则跨域请求不会携带cookie,所以如果需要传输cookie,还是需要有目的允许一些跨域来源地址。
Access-Control-Allow-Credentials表示允许携带认证信息(cookies)
Access-Control-Allow-Methods 不必说,可按需要开放哪些请求方式。
Access-Control-Allow-Headers 表示允许的请求头信息。比如如果这个字段中没有Cookie而同时又需要传输cookie的话,就会报下面的错误:
Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Request header field cookies is not allowed by Access-Control-Allow-Headers in preflight response。这一步的OPTION请求OK的话,浏览器才会正式执行跨域的请求。上面服务端响应头信息的时候,注意看到最后都带了一个always标志。如果服务端修改后仍没有响应所需要的头信息的时候,可以在最后加个always试试,挺好用。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.
本文地址:http://www.04007.cn/article/752.html 未经许可,不得转载. 手机访问本页请扫描下方二维码:
