为何浏览器不容许Ajax跨域

咱们知道若是你在浏览器上打开了一个网页，而后试着去请求另外一个站点的资源，通常来讲，Javascript并不会拿到想要的结果，浏览器会在控制台把提示信息标红。

那么浏览器为什么会这样作呢？咱们来看一下在浏览器不限制跨域的状况下，用户的一系列操做可能会发生什么事情。

首先用户打开一个在线文件存储网站http://www.file.com并成功登录，服务器将登录凭证写入cookie并返回到浏览器。

而后用户打开了另外一个网站http://www.hacker.com，可是hacker的网页中埋了一条发送到file.com的请求，由于浏览器访问file.com，因而刚才生成的那个cookie就被hacker利用了。hacker发送的请求有多是清空file中的全部文件。然而发生的这一切的过程，用户并不能感知到。这也是就是CSRF(Cross-site request forgery)跨站请求伪造。

若是确实有跨域需求，CORS(Cross-origin Resource Shearing )跨域资源共享，是个不错的选择。只要服务器实现CORS接口，就能够实现先后端跨域通讯。

Response Header

Access-Control-Allow-Origin: | * origin，参数的值指定了容许访问该资源的外域URI，若是请求不须要身份凭证，能够用星号*，全部域均可以请求

Access-Control-Expose-Headers: X-My-Custom-Header, X-Another-Custom-Header XMLHttpRequest对象的getResponseHeader能够拿到Cache-Control,Content-Language,Content-Type,Expires,Last-Modified,Pragma这些基本头的其余自定义头。

Access-Control-Max-Age， 决定预请求到的结果能够缓存多长时间

Access-Control-Allow-Credentials， js的请求中，若是credentials:"include", 则浏览器会根据这个返回字段决定是否要把服务器的respond返回给前端Javascript，true：返回；false：不返回

Access-Control-Allow-Methods， 跨域容许使用到的方法

Access-Control-Allow-Headers， 规定了跨域时容许携带的首部字段。

Request Header

Origin: 说明请求发起的来源

Access-Control-Request-Method 实际请求时，须要使用的方法

Access-Control-Request-Headers 实际跨域请求时，会携带的请求头字段