根本原因
跨域,是指浏览器限制跨域脚本的执行。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
同源策略
所谓的同源是指,域名、协议、端口均为相同。
注意:域名和域名对应的ip之间的请求同样会造成跨域问题。
同源策略限制了以下行为:
- Cookie、LocalStorage 和 IndexDB 无法读取
- DOM 和 JS 对象无法获取
- Ajax请求发送不出去
跨域的解决方法
跨域资源共享 CORS
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。IE8+:IE8/9需要使用XDomainRequest对象来支持CORS。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于前端开发者来说,CORS通信与同源的AJAX通信没有差别,前端代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器端实现了CORS接口,就可以跨源通信。
基于CORS机制的两种请求:
1.简单请求
对于简单请求,浏览器直接发出CORS请求。
1.具体来说,就是在头信息之中,增加一个Origin字段。 浏览器发现这次请求是跨源AJAX请求,且为简单请求,就会自动在头信息之中,添加一个Origin字段。
Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
2.如果Origin指定的源,不在许可范围内,服务器会返回一个正常的同源请求的HTTP响应。
3.浏览器发现,这个响应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。
注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。
(4).如果Origin指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。
Access-Control-Allow-Origin: 该字段是必须的。 它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求
Access-Control-Allow-Credentials: 该字段可选。 它的值是一个布尔值,表示是否允许发送Cookie。默认情况下,Cookie不包括在CORS请求之中。设为true,即表示服务器明确许可,Cookie可以包含在请求中,一起发给服务器。这个值也只能设为true,如果服务器不要浏览器发送Cookie,删除该字段即可。
Access-Control-Expose-Headers: 该字段可选。 CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
2.非简单请求
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。"预检"请求通过后,在接下来的有效期时间内,再次发送非简单请求的CORS请求 会当做 简单请求处理。
1."预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。请求头中会出现以下字段:
Origin: 该字段是必须的。 表示请求来自哪个源。
Access-Control-Request-Method:该字段是必须的。 用来列出浏览器的CORS请求会用到哪些HTTP方法(PUT、DELETE等)。
2.服务器收到"预检"请求以后,检查了Origin和Access-Control-Request-Method字段以后,确认是否允许跨源请求。
3.若服务器允许跨源请求,HTTP的响应中,会有Access-Control-Allow-Origin字段,表示可以请求数据。该字段可设为星号,表示同意任意跨源请求。
(4).若服务器不允许跨源请求,会返回一个正常的同源请求的HTTP响应,但是没有任何CORS相关的头信息字段(Access-Control-Allow-Origin)。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。
3.简单请求和非简单请求的区别
只要满足下面条件就是简单请求,其他都是非简单请求
1.请求方式为HEAD、POST 或者 GET
2.http头信息不超出以下字段:
Accept、Accept-Language 、
Content-Language、
Last-Event-ID、
Content-Type(限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain)
3.注意:请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json的请求 均为 非简单请求。
跨域详解参考:https://juejin.cn/post/6844903521163182088#comment
标签:Origin,Control,浏览器,跨域,问题,Access,CORS,请求 From: https://www.cnblogs.com/bran-new/p/17041635.html