Access-Control-Allow-Origin的中文是跨域资源共享(CORS)的一个HTTP首部字段,它使得多个源上的Web应用程序可以共享基于同一个源上的资源,而不必担心跨站脚本(XSS)攻击的安全问题。 设置Access-Control-Allow-Origin通常是使用HTTP头来完成的,其形式如下 : Access-Control-Allow-Origin : 源 Access-Control-Allow-Origin值可以是星号(*)、域名标识符(如http://example. com)、具有Http请求或响应来源的完全规范URL(如https://sub.example.com)之类的字符串,以及null。 当响应来源与请求来源不匹配时,Access-Control-Allow-Origin的值设置为星号(*),这将允许来自任何源的请求进行非简单跨域请求。 在弹性域中,Access-Control-Allow-Origin可以设置为特定的URL或URL列表,以允许特定的源发起特定请求,而不允许来自不受完全信任的其他源的跨域请求。 有时,Access-Control-Allow-Origin假定为某些提前确定的URL列表,在某些时候,可以在回应头中添加一有效的Access-Control-Allow-Origin来完成XHR或Fetch请求。 此外,一些服务器可能会在请求头中增加Access-Control-Allow-Origin,以根据规定的源白名单进行特定的跨域请求。这是CSP(内容安全策略)的一种,可以帮助开发人员提高网站的安全性。 总的来说,Access-Control-Allow-Origin是一种服务端设置,可以帮助开发者实现改进的安全性、跨域访问、数据共享和XHR(跨域Http请求)/Fetch(跨域数据请求)请求。
|
