cookie和跨源资源共享(CORS)

只有 浏览器 才有跨域限制,因为浏览器有同源策略。而其他任何能发请求的客户端都没有跨域限制,比如CURL,postman等。

跨域时,浏览器请求默认不会自动携带cookie

什么时候算跨域?

协议,主机,端口,这三者组成了域Origin(也可以叫做元组),只要三者中有一处不同就是不同源,违反浏览器同源策略,造成跨域
例如:http://www.example.com:8080

参考链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

跨源资源共享(CORS)可以突破浏览器的同源策略限制,这需要服务器配合设置相应响应头

预检请求(preflight),是只有跨域时,才可能会出现,没跨域时根本没有。
预检请求顾名思义,浏览器预先去服务器询问一下,能不能请求服务器上的该资源。
该请求使用OPTIONS请求方式。

浏览器主要发送这些内容:

Origin: http://foo.example
(告诉服务器我来自哪个域)
Access-Control-Request-Method: POST
(告诉服务器我要使用的请求方式)
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
(告诉服务器我要发送的特殊请求头字段)

而服务器主要需要配合设置这些内容:

Access-Control-Allow-Origin: http://foo.example
允许这个域的请求访问我的资源,如果为*代表允许任何域的请求访问我的资源)
Access-Control-Allow-Methods: POST, GET, OPTIONS
允许这些种类的请求方式访问我的资源)
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
允许请求头中可以包含这些特殊字段)
Access-Control-Max-Age: 86400
设置预检请求的缓存时间,即针对同一个跨域的复杂请求,不必每次都先发送一次预检请求,该属性不是必须

上一篇:前端好文收集


下一篇:SpringBoot 优雅配置跨域多种方式及Spring Security跨域访问配置的坑