Cookie跨域与CORS协议

红太狼 2023-01-17 08:48 82阅读 0赞

**[什么是跨域？][Link 1]**  
所谓跨域，意思就是跨过了浏览器的同源策略。  
同源指的是三个相同：  
协议相同  
域名相同  
端口相同  
违反同源策略会有以下限制：  
Cookie、LocalStorage、IndexDB无法获取  
DOM无法获得  
AJAX请求不能发送  
**[CORS解决跨域][Link 1]**  
**[什么是CORS？][Link 1]**  
2014年W3C发布了 [CORS Recommendation][Link 1] 使资源共享变得更方便，默认情况下，浏览器对跨域请求不会携带Cookie,但鉴于Cookie在身份验证等方面的重要性，CORS推荐使用额外的响应头字段来允许跨域发送Cookie，因此，CORS本质是W3C指定的一套规范，主流浏览器通过查看服务端返回的协议头，来确定是否准许跨域携带Cookie。  
实现CORS  
实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以实现跨域通信。  
其主要涉及以下协议头：  
Access-Control-Allow-Origin：\*，  
该字段是必需的，它的值要么是请求时Origin字段的值，要么是一个 \* ，表示接受任意域名的请求  
Access-Control-Allow-Credentials：true  
该字段可选，它的值是一个布尔值，表示是否允许发送Cookie。默认情况下Cookie，Cookie不包括在CORS请求中。设为 TRUE ，即表示服务器明确许可，Cookie可以包含在请求中。  
Access-Control-Expose-Headers：, ,….  
默认情况下，只有七种 simple response headers （简单响应首部）可以暴露给外部：Cache-Control，Content-Language，Content-Length，Content-Type，Expires，Last-Modified，Pragma。如果想要让客户端可以访问到其他的首部信息，可以将它们在 Access-Control-Expose-Headers 里面列出来。  
Access-Control-Request-Method： , …  
该字段是必需的，响应首部 Access-Control-Allow-Methods，明确了客户端所要访问的资源允许使用的方法或方法列表。  
Access-Control-Request-Headers：, ,….  
请求头 Access-Control-Request-Headers 用于通知服务器在真正的请求中会采用哪些请求头。  
Access-Control-Allow-Headers：, ,….  
该字段是必需的，允许哪些请求头可以跨域

[Link 1]: http://github.crmeb.net/u/defu