CORS 跨域资源共享

1. 接口的跨域问题

- 解决接口跨域问题的方案主要有三种:

    ① CORS(主流的解决方案,推荐使用)跨域资源共享

    ② JSONP(有缺陷的解决方案:只支持 GET 请求)

    ③ 服务器的反向代理(利用服务器之间通信不受同源策略的影响)

2. 使用 cors 中间件解决跨域问题

- cors 是 Express 的一个第三方中间件。通过安装和配置 cors 中间件,可以很方便地解决跨域问题。使用步骤分为如下 3 步:

    ① 运行 npm install cors 安装中间件

    ② 使用 const cors = require('cors') 导入中间件

    ③ 在路由之前调用 app.use(cors()) 配置中间件

3. 什么是 CORS

- CORS (Cross-Origin Resource Sharing,跨域资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端 JS 代码跨域获取资源。

- 浏览器的同源安全策略默认会阻止网页“跨域”获取资源。但如果接口服务器配置了 CORS 相关的 HTTP 响应头,

- CORS 在浏览器中有兼容性。只有支持 XMLHttpRequest Level2 的浏览器,才能正常访问开启了 CORS 的服务端接口(例如:IE10+、Chrome4+、FireFox3.5+)

4. CORS 响应头部 - Access-Control-Allow-Origin

- 响应头部中可以携带一个 Access-Control-Allow-Origin 字段,其语法如下:

```js

    Access-Control-Allow-Origin: <origin> | *

```

- 其中,origin 参数的值指定了允许访问该资源的外域 URL。

```js

    // 例如,下面的字段值将只允许来自 http://itcast.cn 的请求:

    res.setHeader('Access-Control-Allow-Origin', 'http://itcast.cn')

    // 例如,下面的字段值将允许所有请求:

    res.setHeader('Access-Control-Allow-Origin', '*')

```

5. CORS 响应头部 - Access-Control-Allow-Headers

- 默认情况下,CORS 仅支持客户端向服务器发送如下的 9 个请求头:

    Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、Content-Type (值仅限于 text/plain、multipart/form-data、application/x-www-form-urlencoded 三者之一)

    如果客户端向服务器发送了额外的请求头信息,则需要在服务器端,通过 Access-Control-Allow-Headers 对额外的请求头进行声明,否则这次请求会失败!

```js

    // 允许客户端额外向服务器发送 Content-Type 请求头和 X-Custom-Header 请求头

    // 注意:多个请求头之间使用英文的逗号进行分割

    res.setHeader('Access-Control-Allow-Headers', 'Content-Type, X-Custom-Header')

```

6. CORS 响应头部 - Access-Control-Allow-Methods

- 默认情况下,CORS 仅支持客户端发起 GET、POST、HEAD 请求。

    如果客户端希望通过 PUT、DELETE 等方式请求服务器的资源,则需要在服务器端,通过 Access-Control-Alow-Methods 来指明实际请求所允许使用的 HTTP 方法。示例代码如下:

```js

    // 只允许 POST、 GET、 DELETE、 HEAD 请求方法

    res.setHeader('Access-Control-Allow-Methods', 'POST, GET, DELETE, HEAD')

    // 允许所有的 HTTP 请求方法

    res.setHeader('Access-Control-Allow-Methods', '*')

```

7. CORS请求的分类

- 客户端在请求 CORS 接口时,根据请求方式和请求头的不同,可以将 CORS 的请求分为两大类,分别是:

    ① 简单请求

    ② 预检请求

    1. 简单请求

    - 同时满足以下两大条件的请求,就属于简单请求:

    ① 请求方式:GET、POST、HEAD 三者之一

    ② HTTP 头部信息不超过以下几种字段:无自定义头部字段、Accept、Accept-Language、Content-Language、DPR、Downlink、Save-Data、Viewport-Width、Width 、Content-Type(只有三个值application/x-www-form-urlencoded、multipart/form-data、text/plain)

    2. 预检请求

    - 只要符合以下任何一个条件的请求,都需要进行预检请求:

    ① 请求方式为 GET、POST、HEAD 之外的请求 Method 类型

    ② 请求头中包含自定义头部字段

    ③ 向服务器发送了 application/json 格式的数据

    - 在浏览器与服务器正式通信之前,浏览器会先发送 OPTION 请求进行预检,以获知服务器是否允许该实际请求,所以这一次的 OPTION 请求称为“预检请求”。服务器成功响应预检请求后,才会发送真正的请求,并且携带真实数据。

    3. 简单请求和预检请求的区别

    - 简单请求的特点:客户端与服务器之间只会发生一次请求。

    - 预检请求的特点:客户端与服务器之间会发生两次请求,OPTION 预检请求成功之后,才会发起真正的请求。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容