Access-Control-Allow-Origin响应头在处理跨域请求时,若请求携带身份信息(Credential),必须设置具体域,不能使用通配符*。浏览器的同源策略限制了JavaScript的跨域请求,CORS规范提供了安全的跨域资源共享方案。简单跨域请求只需Origin Header,而带预检的请求会先发送OPTIONS预检请求。当请求携带Cookie等信息时,服务器必须返回Access-Control-Allow-Credentials: true。
Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行跨域资源访问的来源域。可以用通配符*表示允许任何域的JavaScript访问资源,但是在响应一个携带身份信息(Credential)的HTTP请求时,Access-Control-Allow-Origin必需指定具体的域,不能用通配符。
前端项目用的axios,在同事随手复制的一个axios的封装文件中找到了这行代码
axios.defaults.withCredentials = true
当设置withCredentials为true时,后端配置Access-Control-Allow-Origin不能设置为*
受浏览器的同源策略限制,JavaSript只能请求本域内的资源。跨域资源共享(Cross-Origin Resource Sharing, CORS)是为解决Ajax技术难实现跨域问题而提出的一个规范,这个规范试着从根本上解决安全的跨域资源共享问题。在此之前,解决此类问题的途径往往是服务器代理、JSONP等,治标不治本。目前基本所有浏览器都已经支持该规范。
一个域是由schema、host、port三者共同组成,与路径无关。所谓跨域,是指在http://example-foo.com/域上通过XMLHttpRequest对象调用http://example-bar.com/域上的资源。CORS约定服务器端和浏览器在HTTP协议之上,通过一些额外HTTP头部信息,进行跨域资源共享的协商。服务器端和浏览器都必需遵循规范中的要求。
CORS把HTTP请求分成两类,不同类别按不同的策略进行跨域资源共享协商。
简单跨域请求。
当HTTP请求出现以下两种情况时,浏览器认为是简单跨域请求:
1). 请求方法是GET、HEAD或者POST,并且当请求方法是POST时,Content-Type必须是application/x-www-f
最低0.47元/天 解锁文章
扫一扫
1971
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
