介绍
当我们使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
常规设置
下述这些并不是安全的设置,具体含义可以查找相关文档,这里一般为调试方便而设置的。
Access-Control-Allow-Methods: *
Access-Control-Allow-Origin: *
Access-Control-Max-Age: 362800
Access-Control-Request-Method: PUT, GET, POST, OPTIONS
Access-Control-Allow-Headers: Accept,Content-Type,X-Requested-With,x-api-key
Cache-Control: max-age=2592000
