cors

当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时，资源会发起一个 跨域 HTTP 请求 。 比如，站点 http://domain-a.com 的某 HTML 页面通过 <img> 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表，图像和脚本等资源。 出于安全考虑，浏览器会限制从脚本内发起的跨域HTTP请求。例如， XMLHttpRequest 和 Fetch 遵循 同源策略 。因此，使用 XMLHttpRequest 或 Fetch 的Web应用程序只能将HTTP请求发送到其自己的域。为了改进Web应用程序，开发人员要求浏览器厂商允许跨域请求。 （译者注： 这段描述跨域不准确， 跨域并 非 不一定是浏览器限制了发起跨站请求， 而 也可能是跨站请求可以正常发起，但是返回结果被浏览器拦截了。最好的例子是 CSRF 跨站攻击原理，请求是发送到了后端服务器无论是否跨域！注意：有些浏览器不允许从 HTTPS 的域跨域访问 HTTP，比如 Chrome 和 Firefox，这些浏览器在请求还未发出的时候就会拦截请求，这是一个特例。） 跨域资源共享（ CORS ）机制允许 Web 应用服务器进行跨域访问控制，从而使跨域数据传输得以安全进行。浏览器支持在 API 容器中（例如

跨域资源共享( CORS ) 是一种机制，它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器 不同的域、协议或端口 请求一个资源时，资源会发起一个 跨域 HTTP 请求 。 什么情况下需要 CORS ？ XMLHttpRequest 或 Fetch 发起的跨域 HTTP 请求。 Web 字体 (CSS 中通过 @font-face 使用跨域字体资源), 因此，网站就可以发布 TrueType 字体资源，并只允许已授权网站进行跨站调用 。 WebGL 贴图 使用 drawImage 将 Images/video 画面绘制到 canvas 样式表（使用 CSSOM ） 功能概述 跨域资源共享标准新增了一组 HTTP 首部字段，允许服务器声明哪些源站通过浏览器有权限访问哪些资源。 另外，规范要求，对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求）， 浏览器必须首先使用 OPTIONS 方法发起一个预检请求（preflight request），从而获知服务端是否允许该跨域请求。 服务器确认允许之后，才发起实际的 HTTP 请求。 在预检请求的返回中

基本概念 跨域(CORS)请求 ：同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。 浏览器和服务器实现跨域(CORS)判定的原理 问题描述 axios提示跨域 但是返回的请求是200并且有数据 问题分析 同源策略限制以下几种行为： 1.) Cookie、LocalStorage 和 IndexDB 无法读取 2.) DOM 和 Js对象无法获得 3.) AJAX 请求不能发送 常见跨域场景 1.)同一域名下的不同文件或路径，允许访问。 http://www.domain.com/a.js http://www.domain.com/b.js http://www.domain.com/lab/c.js 2.)同一域名下的不同端口， 不允许访问。 http://www.domain.com:8000/a.js http://www.domain.com/b.js 3.)同一域名下的不同协议， 不允许访问。 http://www.domain.com/a.js https://www.domain.com/b.js 4.

同源策略 1、先来说说什么是源 源（origin）就是协议、域名和端口号， 若地址里面的 协议、域名 和 端口 号均 相同 则属于 同源 。 同源检测： 例：http://www.a.com/test/index.html http://www.a.com/dir/page.html ----成功 http://www.child.a.com/test/index.html ----失败，域名不同 https://www.a.com/test/index.html ----失败，协议不同 http://www.a.com:8080/test/index.html ----失败，端口号不同 2.什么是同源策略？ 同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. 比如:我在本地上的域名是127.0.0.1: 8000 ,请求另外一个域名：127.0.0.1: 8001 一段数据 浏览器上就会报错，个就是 同源策略 的保护,如果浏览器对 javascript 没有同源策略的保护,那么一些重要的机密网站将会很危险 已拦截跨源请求

同源策略 同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. 比如:我在本地上的域名是127.0.0.1:8000,请求另外一个域名：127.0.0.1:8001一段数据 浏览器上就会报错，个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险 已拦截跨源请求：同源策略禁止读取位于 http://127.0.0.1:8001/SendAjax/ 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）。 但是注意，项目2中的访问已经发生了，说明是浏览器对非同源请求返回的结果做了拦截 CORS（跨域资源共享）简介 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求

一：同源策略 同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. 比如:我在本地上的域名是127.0.0.1:8001,请求另外一个域名：127.0.0.1:8000一段数据 浏览器上就会报错，个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险 Access to XMLHttpRequest at 'http://127.0.0.1:8000/course/' from origin 'http://127.0.0.1:8001' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource 但是注意，127.0.0.1:8000中的访问其实已经已经发生了，只是浏览器对非同源请求返回的结果做了拦截 二：CORS（跨域资源共享）简介 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能

一 同源策略 同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现 请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. 比如:我在本地上的域名是127.0.0.1:8000,请求另外一个域名：127.0.0.1:8001一段数据 浏览器上就会报错，个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险 已拦截跨源请求：同源策略禁止读取位于 http://127.0.0.1:8001/SendAjax/ 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）。 但是注意，项目2中的访问已经发生了，说明是浏览器对非同源请求返回的结果做了拦截 二 CORS（跨域资源共享）简介 CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。 整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求