HTTP请求方法包括:POST、GET、PUT 、DELETE、OPTIONS等
对于除GET请求以外的HTTP请求
如果存在跨域请求
浏览器必须首先使用OPTIONS方法询问服务端是否允许跨域请求,然后才发起真正的请求,OPTIONS请求称为预检请求
HTTP请求首部字段,预检请求发送给服务器
Origin
- 预检请求或实际请求的原域名
- 不管是否为跨域请求
- Origin字段总是被发送
Access-Control-Request-Method
- 预检请求
- 将实际请求的HTTP方法告诉服务器
Access-Control-Request-Headers
- 预检请求
- 将实际请求所携带的首部字段告诉服务器
HTTP响应首部字段
Access-Control-Allow-Origin
- 服务器允许跨域访问的域
- 对于不需要携带身份凭证
- 服务器可以配置该属性为“*”
|
1 |
Access-Control-Allow-Origin: www.baidu.com |
Access-Control-Allow-Methods
- 服务器允许跨域请求的方法
- 用于预检请求的响应
Access-Control-Allow-Headers
- 服务器允许跨域请求携带的首部字段
- 用于预检请求的响应
- 可以自定义
|
1 |
Access-Control-Allow-Headers: app-id |
Access-Control-Allow-Credentials
- 服务器允许跨域请求携带身份凭证(cookies、authorization headers、TLS client certificates等)
- 如果允许,设置为true
- 如果不允许则不需要设置,因为此属性只有true一个可选值
- 并且对于附带身份凭证的请求
- Access-Control-Allow-Origin不能使用通配符
|
1 |
Access-Control-Allow-Credentials: true |
Access-Control-Expose-Headers
- 服务器允许浏览器访问的头
- 默认情况下:
- 浏览器只能获取到Cache-Control、Content-Language、Content-Type、Expires、Last-Modified等
Access-Control-Max-Age
- 服务器设置OPTIONS预检的缓存时长(以秒为单位)
- 在缓存时长内
- 这个域不再发起预检请求
- 可以直接发起真正的HTTP请求
|
1 |
Access-Control-Max-Age: 28800 |
原文链接:
相关文章
