由于受到同源策略的影响,站点被不允许从其它站点加载资源,但是,在某些情况下,又需要从某些站点加载资源。CORS就是用于控制跨站访问的。CORS的Header如下:
属性 Header 说明
CORS Access-Control-Allow-Origin 指示请求的资源能共享给哪些域。
Access-Control-Allow-Credentials 指示当请求的凭证标记为 true 时,是否响应该请求。
Access-Control-Allow-Headers 用在对预请求的响应中,指示实际的请求中可以使用哪些 HTTP 头。
Access-Control-Allow-Methods 指定对预请求的响应中,哪些 HTTP 方法允许访问请求的资源。
Access-Control-Expose-Headers 指示哪些 HTTP 头的名称能在响应中列出。
Access-Control-Max-Age 指示预请求的结果能被缓存多久。
Access-Control-Request-Headers 用于发起一个预请求,告知服务器正式请求会使用那些 HTTP 头。
Access-Control-Request-Method 用于发起一个预请求,告知服务器正式请求会使用哪一种 HTTP 请求方法。
设置的示例如下:
Access-Control-Allow-Origin: https://www.example.com Access-Control-Allow-Methods: POST, GET, HEAD
常用的是Access-Control-Allow-Origin,强烈建议不要设为为*。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
相关文章