众所周知出于安全的考虑,浏览器有个“同源策略 ”,对于不同源的站点之间的相互请求会做限制(注意:跨域限制是浏览器行为,不是服务器行为)。
同源的要求:所谓同源是指域名(或IP)、协议、端口都相同。
上图指出了不同形式的链接是否与其同源
浏览器和服务器的合作判定跨域步骤如下:
1、浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求。若不同源,则发送跨域请求。
2、服务器解析程序收到浏览器跨域请求后,根据自身配置返回对应文件头,若未配置过任何允许跨域,则文件头里不包含Access-control-Allow-origin字段。若配置过域名,则返回Access-control-Allow-origin + 对应配置规则里的域名的方式。
3、浏览器根据接受到的http文件头里的Access-Control-Allow-origin字段做匹配,若无该字段,说明不允许跨域,若有该字段,则对字段内容和当前域名做对比,如果同源,则说明可以跨域,浏览器发送请求。如果不同源,则说明该域名不可跨域,不发生请求。
