CORS
CORS(跨源资源共享)是一种系统,它通过传输HTTP头来确定浏览器是否阻止前端JavaScript代码访问跨源请求的响应。
同源策略禁止跨源访问资源。但是CORS使Web服务器能够声明它们希望选择允许跨源访问其资源。
CORS 头部
Access-Control-Allow-Origin
-
指示响应是否可以共享。
Access-Control-Allow-Credentials
-
指示当凭据标志为true时,请求的响应是否可以公开。
Access-Control-Allow-Headers
-
用于响应预检请求,指示在发出实际请求时可以使用哪些HTTP头。
Access-Control-Allow-Methods
-
在响应预检请求时指定访问资源时允许的方法。
Access-Control-Expose-Headers
-
通过列出其名称来指示哪些头可以作为响应的一部分公开。
Access-Control-Max-Age
-
指示预检请求的结果可以缓存多长时间。
Access-Control-Request-Headers
-
在发出预检请求时使用,以告知服务器在发出实际请求时将使用哪些HTTP头。
Access-Control-Request-Method
-
在发出预检请求时使用,以告知服务器在发出实际请求时将使用哪个HTTP方法。
来源
-
指示提取请求的来源。
Timing-Allow-Origin
-
指定允许查看通过资源计时API的功能检索的属性值的来源,否则由于跨源限制,这些值将报告为零。
另请参阅
- 跨源资源共享(CORS)
- 跨源资源共享 在维基百科上
- 提取规范