跨域资源共享(Cross-Origin Resource Sharing)

跨域资源共享(Cross-Origin Resource Sharing)

跨域资源共享

疑问一：为什么要有跨域资源共享？

因为CSP同源策略的存在，导致AJAX无法跨域读取、写入资源，为了解决跨域分享资源的问题，提出了CORS，用来在不同域之间进行资源共享。但是，CORS仅仅适用于跨域发送数据，而且是从客户端发送到服务器端。

目标域：被跨域访问的那个域。 发送域：存储AJAX，需要访问目标域的那个域。 CORS的实现，需要目标域的服务器端设置响应的HTTP头 Allow-Control-Allow-Origin: #表示运行https://xxxx.com域中的AJAX脚本发送资源过来 默认情况下，AJAX跨域不能发送目标域的cookie，除非目标域设置请求头：Access-control-Allow-Credentials: true 当目标域设置了上述的请求头之后，跨域发送数据时将会带上目标域的cookie，可实现登陆之后的操作。很完美的应用于AJAX实现的CSRF中。但是，如果设置了上述请求头，则Allow-Control-Allow-Origin的值必须为一个确定的值。 所以，如果目标域允许跨域，且Allow-Control-Allow-Origin的值为*，就可以直接放弃了。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。