前后端分离开发基本都会有跨域问题,一般服务端加个Access-Control-Allow-Origin就可以了,可是有些情况单纯设置Access-Control-Allow-Origin并不能解决问题。
这是为什么呢?其实跨域并不只是域名鉴别,它有着一整套的方案,就是 跨域资源共享(CORS)。关于CORS本文不做赘述,文末会给出一些相关参考链接。
Access-Control-Allow-Origin 指的是允许来自指定源的跨域访问,那么是否还有其它影响因素呢?
注:确切来说并不是限制访问,因为在跨域请求中,请求已经发送,服务端也执行了相应的动作。
只是浏览器根据服务端返回的CORS信息来决定是否把数据给请求者。
在restful接口跨域中我们经常会遇见OPTIONS的请求,如果跨域配置正确才会发起一次真正的请求,但有些接口却是直接就能发起请求的。
这就是CORS有着一定的规则:
当请求方法为GET、POST、HEAD,Header的Content-Type为application/x-www-form-urlencoded、multipart/form-data、text/plain时,无需先发起OPTIONS请求。
如果请求不在这些范围怎么办,那么就需要在OPTIONS的返回header中定于允许的内容
如:
Access-Control-Allow-Methods: PUT,DELETE用以允许PUT,DELETE请求。
Access-Control-Request-Headers: AUTH,Content-Type用以允许请求头中的自定义字段AUTH及任意的Content-Type。
其它:
Access-Control-Max-Age: 3600本次请求验证信息的有效期(单位:秒),有效期内本次允许的请求类型将无需再触发OPTIONS请求,合理设置可以避免过多的请求压力。
Access-Control-Allow-Credentials: true允许带Cookie请求,设置此项时Access-Control-Allow-Origin需为确定的域名。
文中如有理解偏差,欢迎点评指正。
相关资料:
《HTTP访问控制(CORS)》https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
《跨域资源共享 CORS 详解 - 阮一峰》http://www.ruanyifeng.com/blog/2016/04/cors.html
