CORS(Cross-Origin Resource Sharing)跨域资源共享
因为浏览器的同源策略才出现了跨域问题。
CORS是一套机制,用于浏览器校验跨域请求。
它的基本理念是:
- 只要服务器明确表示允许,则校验通过
- 服务器明确拒绝或没有表示,则校验不通过
CORS将请求分为两类:
- 简单请求
- 预检请求:非简单请求(options 请求)
满足以下条件的是简单请求:
- 请求方法为:GET、POST、HEAD
- 头部字段满足CORS安全规范,详见W3C。概括起来就是没有自定义请求头。
- 请求头的Content-Type为:text/plain、multipart/form-data、application/x-www-form-urlencoded
其他情况都是非简单请求。
简单请求和预检请求发送请求时的区别
非简单请求发起CORS跨域时,会先发送一次预检请求,也就是 options 请求,预检通过后再发送真实请求,跟简单请求一致。
简单请求:
预检请求:
优化预检请求:Access-Control-Max-Age
可见一旦达到触发条件,跨域请求便会一直发送2次请求,这样增加的请求数是否可优化呢?答案是可以,OPTIONS预检请求的结果可以被缓存。
Access-Control-Max-Age这个响应首部表示 preflight request (预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息) 可以被缓存的最长时间,单位是秒。
如果值为 -1,则表示禁用缓存,每一次请求都需要提供预检请求,即用OPTIONS请求进行检测。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
