CORS跨域资源共享+CORS的一系列响应头

CORS（cross-origin resource sharing 跨域资源共享）由一系列HTTP响应头组成，这些HTTP响应头决定浏览器是否阻止前端JS代码跨域获取资源

浏览器的同源安全策略默认会阻止页面的"跨域"获取资源。但如果接口服务器配置了CORS相关的HTTP响应头，就可以解除浏览器端的跨域访问限制

 

 CORS注意事项：

• CORS主要在服务器端进行配置。客户端无需做任何额外的配置，就可请求开启CORS的接口
• CORS在浏览器中有兼容性，只有支持XMLHttpRequestLevel2的浏览器，才能正常访问开启了的CORS的服务端接口（IE10+,Chrome4+,FireFox3.5+）

---

CORS的一系列响应头（与CORS相关的响应头Access-Control-Allow-开头）

 

Access-Control-Allow-Origin:|*(可以是具体的域名或者是*号)---只允许...url的请求

        res.setHeader('Access-Control-Allow-Origin','http://itcast.cn')---服务器只允许http://itcast.cn的跨域名请求。不允许其他访问。

        res.setHeader('Access-Control-Allow-Origin','*')-*表示来自任何域的请求

---

Access-Control-Allow-Headers:如果客户端向服务器发送了额外的请求头，则需要在服务器端，通过此响应头对额外的请求头进行声明，否则这次请求会失败

默认情况下，CORS仅支持客户端向服务器发送如下9个请求头：（

Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width

、Content-Type(值仅限于text/plain multipart/form-data application/x-www-form-urlencoded三者之一)）

比如：允许客户端向服务器发送Content-Type请求头和X-Custom-Header(多个请求头之间使用,分割)

  res.setHeader('Access-Control-Allow-Header','Content-Type','X-Custom-Header')

---

Access-Control-Allow-Methods:默认情况下，CORS仅支持客户端发起GET，POST，HEAD请求

如果客户端希望通过PUT\DELETE等方式请求服务器资源，则需要在服务器端，通过Access-Control-Allow-Methods来指明实际请求所允许使用的HTTP方法

 res.setHeader('Access-Control-Allow-Methods','POST','GET','DELETE','HEAD')——只允许POST\GET\DELETE\HEAD请求方法

 res.setHeader('Access-Control-Allow-Methods','*')——允许所有的HTTP请求方法*通配符

---