HTTP协议本身是没有跨域请求的设置的,跨域请求的限制是浏览器为了安全考虑加上去的。
实际上,浏览器对于HTTP请求是直接发送给server
浏览器提供了2种方式来突破跨域请求的限制,
- 在sever返回的Response Head中添加Access-Control-Allow-Origin
- 浏览器不限制script标签、img标签、link标签的跨域请求。
对于现在的突破跨域请求的方式,比如使用JSONP方式,它的底层原理就是使用script标签。
对于一些可控的跨域请求,通常我们使用Access-Control-Allow-Origin头。
但是,使用这个头也有一些限制:
- 请求方法的限制: 默认的突破跨域请求的限制只支持GET、POST、HEAD方法,使用其他方法使用方式预请求。
- 自定义的头部信息: 默认的突破跨域限制的请求中,自定义的头部信息会被屏蔽掉,如果需要使用自定义的头部信息需要发送预请求。
- Content-Type: 默认的突破跨域限制的请求的response格式也有限制,只支持text/plain、multipart/form-data、application/x-www-form-urlencoded,如果需要其他格式,需要发送预请求。
预请求:
由于需要突破CORS跨域请求的限制,浏览器一般需要发送预请求。预请求就是为了验证是否可以发送跨域请求而先发送的,它的method是OPTIONS。得到200的响应后,如果在Response Head中设置了
Access-Control-Allow-Headers、Access-Control-Allow-Methods类型的值,浏览器拿到这些头部信息就会和真正需要发送的请求的头部进行比对,如果存在的话就可以发送真正的请求了。不然会报error。
可以设置Access-Control-Max-Age时间,在这个时间内再次发起相同的跨域请求时就不需要预请求了。