跨域資源共享(Cross-Origin Resource Sharing)

跨域資源共享

疑問一：爲何要有跨域資源共享？

由於CSP同源策略的存在，致使AJAX沒法跨域讀取、寫入資源，爲了解決跨域分享資源的問題，提出了CORS，用來在不一樣域之間進行資源共享。可是，CORS僅僅適用於跨域發送數據，並且是從客戶端發送到服務器端。

目標域：被跨域訪問的那個域。
發送域：存儲AJAX，須要訪問目標域的那個域。

CORS的實現，須要目標域的服務器端設置響應的HTTP頭

Allow-Control-Allow-Origin:https://xxxx.com     #表示運行https://xxxx.com域中的AJAX腳本發送資源過來

默認狀況下，AJAX跨域不能發送目標域的cookie，除非目標域設置請求頭：Access-control-Allow-Credentials: true
當目標域設置了上述的請求頭以後，跨域發送數據時將會帶上目標域的cookie，可實現登錄以後的操做。很完美的應用於AJAX實現的CSRF中。可是，若是設置了上述請求頭，則Allow-Control-Allow-Origin的值必須爲一個肯定的值。

因此，若是目標域容許跨域，且Allow-Control-Allow-Origin的值爲*，就能夠直接放棄了。