HTTP协议本身是没有跨域请求的设置的,跨域请求的限制是浏览器为了安全考虑加上去的。
实际上,浏览器对于HTTP请求是直接发送给server
浏览器提供了2种方式来突破跨域请求的限制,
对于现在的突破跨域请求的方式,比如使用JSONP方式,它的底层原理就是使用script标签。
对于一些可控的跨域请求,通常我们使用Access-Control-Allow-Origin头。
但是,使用这个头也有一些限制:
预请求:
由于需要突破CORS跨域请求的限制,浏览器一般需要发送预请求。预请求就是为了验证是否可以发送跨域请求而先发送的,它的method是OPTIONS。得到200的响应后,如果在Response Head中设置了
Access-Control-Allow-Headers、Access-Control-Allow-Methods类型的值,浏览器拿到这些头部信息就会和真正需要发送的请求的头部进行比对,如果存在的话就可以发送真正的请求了。不然会报error。
可以设置Access-Control-Max-Age时间,在这个时间内再次发起相同的跨域请求时就不需要预请求了。
原文:https://www.cnblogs.com/wangtingnoblog/p/http_CORS.html