cors是什么意思 js

CORS（Cross-Origin Resource Sharing，跨域资源共享）是W3C标准，全称“跨域资源共享”（Cross-origin resource sharing），是一种机制，它使用附加的HTTP头来告诉浏览器，允许Web应用向跨源服务器发出XMLHttpRequest请求，从而克服了AJAX (Asynchronous JavaScript and XML) 只能同源使用的限制，以下是关于CORS在JS中的详细解释：

CORS的原理

CORS的核心原理是通过在HTTP请求中添加额外的头部信息，来实现跨域通信，当浏览器发现AJAX请求跨域时，会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉，这些头部信息包括Origin、Access-Control-Allow-Origin等，用于告知服务器请求的来源和是否允许跨域访问。

CORS的两种请求类型

1、简单请求：

请求方法是以下三种方法之一：HEAD、GET、POST。

HTTP的头信息不超出以下几种字段：Accept、Accept-Language、Content-Language、Content-Type（只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain）。

凡是不同时满足上面两个条件，就属于非简单请求。

2、非简单请求：

对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。

非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为“预检”请求（preflight），浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段，只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

CORS的相关HTTP头部

1、Access-Control-Allow-Origin：该字段是必须的，它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求，这个值只能设为*，不能设为一个具体的域名，否则Cookie不会上传，如果需要发送Cookie，Access-Control-Allow-Origin就不能设为星号，必须指定明确的、与请求网页一致的域名。

2、Access-Control-Allow-Credentials：该字段可选，它的值是一个布尔值，表示是否允许发送Cookie，默认情况下，Cookie不包括在CORS请求之中，设为true，即表示服务器明确许可，Cookie可以包含在请求中，一起发给服务器，这个值也只能设为true，如果服务器不要浏览器发送Cookie，删除该字段即可。

3、Access-Control-Expose-Headers：该字段可选，CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma，如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。

4、Access-Control-Max-Age：该字段可选，用来指定本次预检请求的有效期，单位为秒，在有效期间，不用发出另一条预检请求。

CORS的优缺点

1、优点：

允许网页从第三方域加载资源，使得Web应用可以灵活地访问不同域的资源，提高了Web应用的灵活性和功能性。

通过设置适当的CORS头部，可以控制哪些域可以访问资源，增强了Web应用的安全性。

2、缺点：

配置不当可能导致安全问题，如CSRF攻击等。

在某些情况下，CORS可能会限制Web应用的性能和响应速度。

CORS是一种重要的Web安全机制，它允许Web应用在一定条件下跨域访问资源，在使用CORS时需要注意其配置和安全性问题，以确保Web应用的安全和稳定运行。