CORS——一种新的跨域解决方案

一种新的跨域解决方案：CORS（跨域资源共享）。

它是W3c的工做草案，定义了在跨域访问资源时浏览器和服务器之间如何通讯。

CORS背后的基本思想是使用 自定义的HTTP头部容许浏览器和服务器相互了解对方，从而决定请求或响应成功与否。

CORS须要浏览器和服务器同时支持。目前，全部主流浏览器都支持该功能，IE浏览器不能低于IE8（IE10提供了对规范的完整支持；但在IE八、IE9中，CORS机制是借由XDomainRequest对象完成的）。

整个CORS通讯过程，都是浏览器自动完成，不须要用户参与。对于开发者来讲，CORS通讯与同源的AJAX通讯没有差异，代码彻底同样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感受。

所以，实现CORS通讯的关键是服务器。只要服务器实现了CORS接口，就能够跨域通讯。

服务器端对于CORS的支持，主要就是经过设置Access-Control-Allow-Origin来进行的。

简单请求 和 复杂请求

CORS能够分红两种：

• 简单请求
• 复杂请求

什么是简单请求 和复杂请求

一个简单的请求大体以下：

HTTP方法是下列之一

• HEAD
• GET
• POST

HTTP头包含

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID

• Content-Type，但仅能是下列之一

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

任何不符合上述要求的，都可以看作 复杂请求。为何要区分简单请求和复杂请求，由于浏览器对这两种请求的处理方式是有区别的。对于复杂请求，浏览器跟服务器之间会有一次“预请求”。

先挖个坑，暂且不解释预请求是什么。

先说简单请求：
对于简单请求，浏览器直接发出CORS请求。具体来讲，就是在头信息之中，增长一个Origin字段。

下面是一个例子，浏览器发现此次跨源AJAX请求是简单请求，就自动在头信息之中，添加一个Origin字段。

Accept: */*
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: keep-alive
Host: localhost:3000
Origin: http://localhost
Referer: http://localhost/
User-Agent: Mozilla/5.0 (Macintosh; .......

上面的头信息中，Origin字段用来讲明，本次请求来自哪一个源（协议 + 域名 + 端口）。服务器根据这个值，决定是否赞成此次请求。

若是Origin指定的源，不在许可范围内，服务器会返回一个正常的HTTP回应。浏览器发现，这个回应的头信息没有包含Access-Control-Allow-Origin字段（详见下文），就知道出错了，从而抛出一个错误，被XMLHttpRequest的onerror回调函数捕获。注意，这种错误没法经过状态码识别，由于HTTP回应的状态码有多是200。

若是Origin指定的域名在许可范围内，服务器返回的响应，会多出几个头信息字段。

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

上面的头信息之中，有三个与CORS请求相关的字段，都以Access-Control-开头。

1. Access-Control-Allow-Origin：该字段是必须的。它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求。
2. Access-Control-Allow-Credentials：该字段可选。它的值是一个布尔值，表示是否容许发送Cookie。默认状况下，Cookie不包括在CORS请求之中。设为true，即表示服务器明确许可，Cookie能够包含在请求中，一块儿发给服务器。这个值也只能设为true，若是服务器不要浏览器发送Cookie，删除该字段便可。
3. Access-Control-Expose-Headers：该字段可选。CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。若是想拿到其余字段，就必须在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')能够返回FooBar字段的值。

var http = require('http');

http.createServer(function (req, res) {
    res.setHeader('Access-Control-Allow-Origin', '*');
    res.write('hello world ~~~');
    res.end();
}).listen(3000);

什么是“预请求”？
浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可使用哪些HTTP动词和头信息字段。只有获得确定答复，浏览器才会发出正式的XMLHttpRequest请求，不然就报错。

在众多的跨域方案中，JSONP跟CORS在使用方式上比较接近。
CORS与JSONP相比，更为先进、方便和可靠。

1. JSONP只能实现GET请求，而CORS支持全部类型的HTTP请求。
2. 使用CORS，开发者可使用普通的XMLHttpRequest发起请求和得到数据，比起JSONP有更好的错误处理。
3. JSONP主要被老的浏览器支持，它们每每不支持CORS；而绝大多数现代浏览器都已经支持了CORS，包括IE8。而服务端可经过任何编程语言来实现，只要能将CORS响应头写入response对象中便可。