浏览器同源策略下的跨域访问解决方案
- 如果站点a允许站点b的脚本访问其资源,则必须在http响应中显示的告知浏览器:站点b是允许被访问的
- 访问站点a的请求,浏览器需要告知该请求来自站点b
- 站点a的响应中,明确指定哪些跨域请求是被允许的
分为两种情况:
• 策略 1:何为简单请求?
• GET/HEAD/POST 方法之一
• 仅能使用 CORS 安全的头部:Accept、Accept-Language、Content-Language、Content-Type
• Content-Type 值只能是: text/plain、multipart/form-data、application/x-www-form-urlencoded 三者其中之一
• 策略 2:简单请求以外的其他请求
• 访问资源前,需要先发起 prefilght 预检请求(方法为 OPTIONS)询问何种请求是被允许的