只有 浏览器 才有跨域限制,因为浏览器有同源策略。而其他任何能发请求的客户端都没有跨域限制,比如CURL,postman等。
跨域时,浏览器请求默认不会自动携带cookie
什么时候算跨域?
协议,主机,端口,这三者组成了域Origin(也可以叫做元组),只要三者中有一处不同就是不同源,违反浏览器同源策略,造成跨域
例如:http://www.example.com:8080
参考链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
跨源资源共享(CORS)可以突破浏览器的同源策略限制,这需要服务器配合设置相应响应头
预检请求(preflight),是只有跨域时,才可能会出现,没跨域时根本没有。
预检请求顾名思义,浏览器预先去服务器询问一下,能不能请求服务器上的该资源。
该请求使用OPTIONS请求方式。
浏览器主要发送这些内容:
Origin: http://foo.example
(告诉服务器我来自哪个域)
Access-Control-Request-Method: POST
(告诉服务器我将要使用的请求方式)
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
(告诉服务器我将要发送的特殊请求头字段)
而服务器主要需要配合设置这些内容:
Access-Control-Allow-Origin: http://foo.example
(允许这个域的请求访问我的资源,如果为*代表允许任何域的请求访问我的资源)
Access-Control-Allow-Methods: POST, GET, OPTIONS
(允许这些种类的请求方式访问我的资源)
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
(允许请求头中可以包含这些特殊字段)
Access-Control-Max-Age: 86400
(设置预检请求的缓存时间,即针对同一个跨域的复杂请求,不必每次都先发送一次预检请求,该属性不是必须)