Same-origin policy (COP), 同源策略

协议\端口\域名都相同

• 示例

Cross-Origin Resource Sharing (CORS), 跨域资源共享

放松同源策略的限制, 并维持住同源策略的安全性(并不会增强安全性)

增强安全请使用内容安全策略, Content Security Policy (CSP)

跨域资源共享(CORS) 允许服务器通过http headers 进行跨域访问控制, 告诉哪些地方的资源可以安全加载, 那些地方的资源不是可靠的

需要跨域的资源示例

CDN 上的静态文件(CSS js 字体 图片等)

第三方API, 如天气啊, 地图啊, 时间啊什么的

自家多业务互相通信

为了突破浏览器6 个并发连接, 资源放在多个域名里

控制哪些方面

服务端告知客户端哪些资源安全

浏览器得到资源后, 判断CORS 策略, 如果不通过就会拦截这个资源不使用

客户端跨域请求前, 先用http headers 与服务器沟通一次

预检请求

还可以控制客户端跨域时是否带cookie 和其它认证相关的数据

• 最基本的访问控制由两个header 就可以做到

• 简单请求, 无需预检的跨域请求, 要满足三组条件

• 预检查请求, 不能满足简单请求的条件时, 就需要预检

• 让跨域请求携带cookie 和认证信息

• 客户端与服务端内容协商牵扯到的知识点

• 参考