onvno / pokerface

日常技术文章阅读整理
3 stars 0 forks source link

20190618 - Puluo - 跨域&&CORS&&CSRF #42

Open onvno opened 5 years ago

onvno commented 5 years ago

名词解释

CORS:全称是"跨域资源共享"(Cross-origin resource sharing) CSRF:跨站请求伪造Cross-site request forgery

JSONP与CORS

CORS与JSONP的使用目的相同,但是比JSONP更强大。

JSONP只支持GET请求,CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。

CORS预检

Preflighted Requests 简单请求不会预检,复杂请求才会 何为简单 1_Zc6_PKS-532eEVFGgToC4Q 简单请求设置

Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: http://specific.domain.example

何为复杂 1_mjwtIJNU0UXrJhoX-gsing 复杂请求需要服务端设置:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400

参考