跨域请求(Cross-Origin Request),简称CORS,是指在Web开发中,当一个Web页面向不同源(域名、协议或端口)的服务器发起请求时,浏览器会遵循同源策略(Same-Origin Policy)的限制,对这些跨源请求进行限制。
同源策略是一种安全策略,它限制了来自不同源的脚本在浏览器中运行。一个源指的是由协议、主机名和端口号组成的URL。同源策略要求脚本只能访问和执行来自同一源的资源和数据,不能访问其他源的资源和数据,这样可以防止跨站点请求伪造(Cross-Site Request Forgery, CSRF)等安全问题。
当一个Web页面中的JavaScript代码通过Ajax等方式向不同源的服务器发送HTTP请求时,浏览器会拒绝该请求,因为它违反了同源策略。这时,如果服务器端允许该跨域请求,就需要使用CORS来进行跨域请求的控制。
CORS是一种通过HTTP头部来与浏览器进行沟通的机制,它允许服务器在响应中包含一个特殊的HTTP头部,来告诉浏览器该服务器允许跨域请求。在浏览器收到带有CORS头部的响应后,如果该请求符合服务器设置的规则,浏览器将允许跨域请求,否则仍会拒绝。
常见的CORS头部包括:
Access-Control-Allow-Origin:指定哪些源(域名)可以访问服务器的资源。可以设置为*,表示允许所有源访问,或者指定具体的源。
Access-Control-Allow-Methods:指定支持的HTTP请求方法,比如GET、POST、PUT等。
Access-Control-Allow-Headers:指定允许请求中携带的自定义头部信息。
Access-Control-Allow-Credentials:指定是否允许请求携带凭证信息(比如cookies)。
通过使用CORS,服务器可以控制哪些跨域请求是被允许的,从而实现跨域资源共享,使Web应用能够安全地进行跨域数据交互。
标签:浏览器,跨域,什么,允许,CORS,服务器,请求 From: https://www.cnblogs.com/yliunyue/p/17601449.html