跨域资源共享(CORS)

1、跨域资源共享(CORS) 是一种机制，它使用额外的 HTTP 头来告诉浏览器，让Web应用被准许访问来自不同源服务器上的指定的资源

2、例如，XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源，

除非响应报文包含了正确CORS响应头

3、什么情况下需要 CORS ？

    由 XMLHttpRequest 或 Fetch 发起的跨域 HTTP 请求。

    Web 字体 (CSS 中通过 @font-face 使用跨域字体资源), 因此，网站就可以发布 TrueType 字体资源，并只允许已授权网站进行跨站调用

    WebGL 贴图

    使用 drawImage 将 Images/video 画面绘制到 canvas

4、跨域资源共享标准对那些可能对服务器数据产生副作用的 HTTP 请求方法（特别是 GET 以外的 HTTP 请求，或者搭配某些 MIME 类型的 POST 请求），

浏览器必须首先使用 OPTIONS 方法发起一个预检请求，从而获知服务端是否允许该跨域请求。服务器确认允许之后，

才发起实际的 HTTP 请求。在预检请求的返回中，服务器端也可以通知客户端，

是否需要携带身份凭证（包括 Cookies 和 HTTP 认证相关数据）

简单请求

某些请求不会触发 CORS 预检请求，称这样的请求为 简单请求

若请求满足所有下述条件，则该请求可视为 简单请求：

    使用下列方法之一：

        GET

        HEAD

        POST

    Fetch 规范定义了对 CORS 安全的首部字段集合，不得人为设置该集合之外的其他首部字段。该集合为：

        Accept

        Accept-Language

        Content-Language

        Content-Type （需要注意额外的限制）

        DPR

        Downlink

        Save-Data

        Viewport-Width

        Width

    Content-Type 的值仅限于下列三者之一：

        text/plain

        multipart/form-data

        application/x-www-form-urlencoded

预检请求

要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器，预检请求 的使用，可以避免跨域请求对服务器的用户数据产生未预期的影响。

当请求满足下述任一条件时，即应首先发送预检请求：

    使用了下面任一 HTTP 方法：

        PUT

        DELETE

        CONNECT

        OPTIONS

        TRACE

        PATCH

    人为设置了对 CORS 安全的首部字段集合之外的其他首部字段。该集合为：

        Accept

        Accept-Language

        Content-Language

        Content-Type (需要注意额外的限制)

        DPR

        Downlink

        Save-Data

        Viewport-Width

        Width

     Content-Type 的值不属于下列之一:

        application/x-www-form-urlencoded

        multipart/form-data

        text/plain

HTTP 响应首部字段

Access-Control-Allow-Origin 

    Access-Control-Allow-Origin: '*'    允许所有网站请求

    Access-Control-Allow-Origin: 'www.baidu.com'    允许百度网站请求

Access-Control-Expose-Headers

    在跨域访问时，XMLHttpRequest对象的getResponseHeader()方法只能拿到一些最基本的响应头，

　　Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma，

　　如果要访问其他头，则需要服务器设置本响应头

Access-Control-Max-Age

    Access-Control-Max-Age: '1000'      1000秒内再发送请求不用在发送预请求

Access-Control-Allow-Credentials

    指定了当浏览器的credentials设置为true时是否允许浏览器读取response的内容

Access-Control-Allow-Methods

    用于预检请求的响应，其指明了实际请求所允许使用的 HTTP 方法

Access-Control-Allow-Headers

    用于预检请求的响应，其指明了实际请求中允许携带的首部字段

HTTP 请求首部字段

    无须手动设置，当开发者使用 XMLHttpRequest 对象发起跨域请求时，它们已经被设置就绪

Origin

    表明预检请求或实际请求的源站

Access-Control-Request-Method

    用于预检请求，将实际请求所使用的 HTTP 方法告诉服务器

Access-Control-Request-Headers

    用于预检请求，将实际请求所携带的首部字段告诉服务器

附带身份凭证的请求

浏览器不会发送身份凭证信息。如果要发送凭证信息，需要设置 XMLHttpRequest 的某个特殊标志位

将 XMLHttpRequest 的 withCredentials 标志设置为 true，从而向服务器发送 Cookies。

因为这是一个简单 GET 请求，所以浏览器不会对其发起 预检请求。但是，如果服务器端的响应中未携带 Access-Control-Allow-Credentials: true，

浏览器将不会把响应内容返回给请求的发送者。