如果你在使用 Angular 或者 jQuery 再或者 一个 XHR 请求,你对服务器说 “嘿伙计,我正在发送一个 POST/GET 请求,连带参数都给你了,你能给我个回应吗?” ,很不幸,你的浏览器控制台却告诉“嘿,你不能获得服务器的信息,因为:No ‘Access-Control-Allow-Origin’ header is present on the requested resource.Origin ‘null’ is therefore not allowed access”, 此刻你会说 “为什么呀,你想要的参数,头部信息等等都给你了呀”,然后你会翻阅各种资料,原来是跨域问题,最后采用某种方式解决了这个问题。但是什么事跨域请求呢?如何解决跨域问题呢?首先你得先明白...
什么是 SOP(同源策略)
SOP(Same-origin policy) 在计算机中,同源策略是 web 应用安全模式下的一个重要概念。在这个策略的影响下,浏览器允许一个页面的脚本去获取另一个页面的数据,但是这种情况只限于两个页面拥有相同的源,这个源是由请求协议、域名和端口号组成,三个中,只要有一个不同就被认为是不同的源。同源策略阻止了恶 意脚本引来的风险,它主要作用在通过脚本获取数据上,像 HTML 标签中嵌入的 images、CSS 和 scripts是不受同源策略的影响。那么在某些开发情况中,同源策略局限性太大了,我们应该怎么去解决他呢?
CORS
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing),他也是跨域请求解决方案之一。它允许浏览器向跨源(协议 + 域名 + 端口)服务器发出请求从而解决 Ajax 只能同源使用的问题。
CORS 是如何工作的?
CORS 标准描述了新的 HTTP headers 信息,它为浏览器和服务器提供了仅在权限允许的情况下请求远程URL的方法。浏览器发出CORS非简单请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。然后服务器发送批准回复,浏览器才会发出正式的 HTTP请求,否则就会报错。服务器还可以通知客户端是否应该发送带有请求的“凭据”(包括Cookie和HTTP身份验证数据)
简单的例子
当浏览器试着发送一个跨源请求时:
- 当一个 http://www.example.com 试图请求在 service.example.com 服务上的用户信息时,下面的请求头将被发送到 service.example.com
Origin: http://www.example.com
2.在 service.example.com 的服务器作出回应:
- 回应的头部信息Access-Control-Allow-Origin (ACAO) 声明了哪些请求源可以访问服务器资源,如:
Access-Control-Allow-Origin: http://www.example.com
- 如果服务器不允许该请求源,页面就会报错
- 回应的头部信息Access-Control-Allow-Origin (ACAO)可以设置通配符,允许所以源访问该服务器资源,当一个页面或API响应被认为是完全公开的内容时,通配符同源策略是适用的
Access-Control-Allow-Origin: *
“*” 的值很特殊,因为它不允许请求提供凭据,这意味着它不允许在跨域请求中发送HTTP身份验证、客户端SSL证书或cookie
HTTP Headers
与 CORS 有关 的 HTTP headers 有:
1.Request headers
- Origin
- Access-Control-Request-Method
- Access-Control-Request-Headers
2.Response headers
- Access-Control-Allow-Origin
- Access-Control-Allow-Credentials
- Access-Control-Expose-Headers
- Access-Control-Max-Age
- Access-Control-Allow-Methods
- Access-Control-Allow-Headers
CORS vs JSONP
JSONP 也是跨域请求的一种解决方法,CORS可作为JSONP模式的替代品,JSONP只支持GET请求方法,然而CORS还支持其他类型的HTTP请求。使用CORS使Web程序员能够使用比JSONP更好的错误处理机制的XMLHttpRequest。另一方面,支持JSONP传统的浏览器,也支持CORS,并且现代的浏览器也支持CORS。JSONP在外部站点受损时可能导致跨站点脚本(XSS)问题,但是CORS允许网站手动解析响应以确保安全性。
为什么在 POSTMAM 上做数据请求就可以呢?
因为 POSTMAN 不是浏览器,只是一个开发工具
结论
积累积累积累,不断的学习,略略略
