CORS使用Access-Control-Allow-Origin来允许跨域请求

本文地址:http://www.04007.cn/article/752.html

    因为浏览器的同源策略，浏览器只允许请求当前域的资源，而对其他域的资源以不信任的态度处理。JSONP是可以解决跨域的一些问题，但JSONP只支持GET请求而不支持POST，因此还是有限，而使用Access-Control-Allow-Origin可以应对各种跨域请求。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    CORS全称跨域资源共享（Cross-origin resource sharing）,这是W3C的标准，即是使用Access-Control-Allow-Origin来允许跨域请求，对这种请求也有标准的处理流程。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    对于跨域的请求，浏览器端先向目标服务器发送OPTION请求判断请求头中是否存在Access-Control-Allow-Origin头信息，Access-Control-Allow-Origin是允许跨域请求的标志。如果没有，浏览器就会报错No Access-Control-Allow-Origin header is present on the requested resource本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    因为此时浏览器向目标服务器发送了OPTION请求并携带access-control-request-method和access-control-request-headers告诉目标服务器它的请求方式和所要发送的头信息，检测目标服务器是否准许,示例如下：本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

Request Method: OPTIONS
access-control-request-headers: content-type,cookies
access-control-request-method: POST

本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    而如果这个OPTION请求未得到200响应的话，则浏览器不会进行下一步。且会报错It does not have HTTP ok status：本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status。即服务器必须在OPTION请求中响应200状态，并且允许使用的headers和method。此时需要对目标服务器的nginx处理添加一些头信息如下，不一定全部都需要。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

add_header Access-Control-Allow-Origin "https://04007.com'" always;
add_header Access-Control-Allow-Headers "Content-type,Origin,X-Auth-Token,X-JSON,Cookies,Cookie,Content-Length" always;
add_header Access-Control-Allow-Methods "GET,POST,OPTIONS" always;
add_header Access-Control-Allow-Credentials "true" always;
add_header Access-Control-Max-Age "86400" always;

本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

    需要注意的是：Access-Control-Allow-Origin 可以设置为*，但是如果设置为*，则跨域请求不会携带cookie，所以如果需要传输cookie，还是需要有目的允许一些跨域来源地址。
Access-Control-Allow-Credentials表示允许携带认证信息（cookies）
Access-Control-Allow-Methods 不必说，可按需要开放哪些请求方式。
Access-Control-Allow-Headers 表示允许的请求头信息。比如如果这个字段中没有Cookie而同时又需要传输cookie的话，就会报下面的错误：
    Access to XMLHttpRequest at 'https://04007.cn/test/cross' from origin 'https://04007.com' has been blocked by CORS policy: Request header field cookies is not allowed by Access-Control-Allow-Headers in preflight response。这一步的OPTION请求OK的话，浏览器才会正式执行跨域的请求。上面服务端响应头信息的时候，注意看到最后都带了一个always标志。如果服务端修改后仍没有响应所需要的头信息的时候，可以在最后加个always试试，挺好用。本文地址:http://www.04007.cn/article/752.html,未经许可,不得转载.

本文地址:http://www.04007.cn/article/752.html 未经许可,不得转载. 手机访问本页请扫描右下方二维码.

手机扫码直接打开本页面