CORS

CORS(跨源资源共享)是一种系统,它通过传输HTTP头来确定浏览器是否阻止前端JavaScript代码访问跨源请求的响应。

同源策略禁止跨源访问资源。但是CORS使Web服务器能够声明它们希望选择允许跨源访问其资源。

CORS 头部

Access-Control-Allow-Origin

指示响应是否可以共享。

Access-Control-Allow-Credentials

指示当凭据标志为true时,请求的响应是否可以公开。

Access-Control-Allow-Headers

用于响应预检请求,指示在发出实际请求时可以使用哪些HTTP头。

Access-Control-Allow-Methods

在响应预检请求时指定访问资源时允许的方法。

Access-Control-Expose-Headers

通过列出其名称来指示哪些头可以作为响应的一部分公开。

Access-Control-Max-Age

指示预检请求的结果可以缓存多长时间。

Access-Control-Request-Headers

在发出预检请求时使用,以告知服务器在发出实际请求时将使用哪些HTTP头。

Access-Control-Request-Method

在发出预检请求时使用,以告知服务器在发出实际请求时将使用哪个HTTP方法

来源

指示提取请求的来源。

Timing-Allow-Origin

指定允许查看通过资源计时API的功能检索的属性值的来源,否则由于跨源限制,这些值将报告为零。

另请参阅