CORS
CORS(跨域资源共享)是一个系统,由传输HTTP 头部组成,它决定浏览器是否阻止前端 JavaScript 代码访问跨域请求的响应。
同源安全策略禁止跨域访问资源。但是 CORS 允许 Web 服务器表明它们希望允许跨域访问其资源。
CORS 头部
Access-Control-Allow-Origin-
指示是否可以共享响应。
Access-Control-Allow-Credentials-
指示当凭据标志为 true 时,请求的响应是否可以暴露。
Access-Control-Allow-Headers-
用于响应预检请求,指示在发出实际请求时可以使用哪些 HTTP 头部。
Access-Control-Allow-Methods-
响应预检请求时,指定访问资源时允许的方法。
Access-Control-Expose-Headers-
通过列出名称,指示响应中可以暴露哪些头部。
Access-Control-Max-Age-
指示预检请求的结果可以被缓存多长时间。
Access-Control-Request-Headers-
在发出预检请求时使用,让服务器知道在发出实际请求时将使用哪些 HTTP 头部。
Access-Control-Request-Method-
在发出预检请求时使用,让服务器知道在发出实际请求时将使用哪个HTTP 方法。
Origin-
指示抓取源自何处。
Timing-Allow-Origin-
指定允许哪些源查看通过资源计时 API 的特性检索到的属性值,否则这些值会因跨域限制而被报告为零。