CORS是一個W3C標準梧奢，全稱是"跨域資源共享"（Cross-origin resource sharing）绘迁。

它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制友雳。

本文詳細介紹CORS的內(nèi)部機制。

一铅匹、簡介

CORS需要瀏覽器和服務(wù)器同時支持押赊。目前，所有瀏覽器都支持該功能包斑，IE瀏覽器不能低于IE10流礁。

整個CORS通信過程，都是瀏覽器自動完成罗丰，不需要用戶參與神帅。對于開發(fā)者來說，CORS通信與同源的AJAX通信沒有差別萌抵，代碼完全一樣找御。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源，就會自動添加一些附加的頭信息绍填，有時還會多出一次附加的請求霎桅，但用戶不會有感覺。

因此讨永，實現(xiàn)CORS通信的關(guān)鍵是服務(wù)器滔驶。只要服務(wù)器實現(xiàn)了CORS接口，就可以跨源通信卿闹。

二揭糕、兩種請求

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

只要同時滿足以下兩大條件锻霎，就屬于簡單請求著角。

（1) 請求方法是以下三種方法之一：

HEAD

GET

POST

（2）HTTP的頭信息不超出以下幾種字段：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data旋恼、text/plain

凡是不同時滿足上面兩個條件吏口，就屬于非簡單請求。

瀏覽器對這兩種請求的處理蚌铜，是不一樣的锨侯。

三、簡單請求

3.1 基本流程

對于簡單請求冬殃，瀏覽器直接發(fā)出CORS請求囚痴。具體來說，就是在頭信息之中审葬，增加一個Origin字段深滚。

下面是一個例子奕谭，瀏覽器發(fā)現(xiàn)這次跨源AJAX請求是簡單請求，就自動在頭信息之中痴荐，添加一個Origin字段血柳。

GET /cors HTTP/1.1Origin:http://api.bob.comHost:api.alice.comAccept-Language:en-USConnection:keep-aliveUser-Agent:Mozilla/5.0...

上面的頭信息中乏沸，Origin字段用來說明靴患，本次請求來自哪個源（協(xié)議 + 域名 + 端口）埃难。服務(wù)器根據(jù)這個值亦鳞，決定是否同意這次請求。

如果Origin指定的源珍语，不在許可范圍內(nèi)顽铸，服務(wù)器會返回一個正常的HTTP回應(yīng)端盆。瀏覽器發(fā)現(xiàn)合蔽，這個回應(yīng)的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文）击敌，就知道出錯了，從而拋出一個錯誤拴事，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲沃斤。注意，這種錯誤無法通過狀態(tài)碼識別刃宵，因為HTTP回應(yīng)的狀態(tài)碼有可能是200衡瓶。

如果Origin指定的域名在許可范圍內(nèi)，服務(wù)器返回的響應(yīng)组去，會多出幾個頭信息字段鞍陨。

Access-Control-Allow-Origin:http://api.bob.comAccess-Control-Allow-Credentials:trueAccess-Control-Expose-Headers:FooBarContent-Type:text/html; charset=utf-8

上面的頭信息之中步淹，有三個與CORS請求相關(guān)的字段从隆，都以Access-Control-開頭。

（1）Access-Control-Allow-Origin

該字段是必須的缭裆。它的值要么是請求時Origin字段的值键闺，要么是一個*，表示接受任意域名的請求澈驼。

（2）Access-Control-Allow-Credentials

該字段可選辛燥。它的值是一個布爾值，表示是否允許發(fā)送Cookie缝其。默認情況下挎塌，Cookie不包括在CORS請求之中。設(shè)為true内边，即表示服務(wù)器明確許可榴都，Cookie可以包含在請求中，一起發(fā)給服務(wù)器漠其。這個值也只能設(shè)為true嘴高，如果服務(wù)器不要瀏覽器發(fā)送Cookie竿音，刪除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選拴驮。CORS請求時春瞬，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language套啤、Content-Type宽气、Expires、Last-Modified潜沦、Pragma抹竹。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定止潮。上面的例子指定窃判，getResponseHeader('FooBar')可以返回FooBar字段的值。

3.2 withCredentials 屬性

上面說到喇闸，CORS請求默認不發(fā)送Cookie和HTTP認證信息袄琳。如果要把Cookie發(fā)到服務(wù)器，一方面要服務(wù)器同意燃乍，指定Access-Control-Allow-Credentials字段唆樊。

Access-Control-Allow-Credentials:true

另一方面，開發(fā)者必須在AJAX請求中打開withCredentials屬性刻蟹。

varxhr=newXMLHttpRequest();xhr.withCredentials=true;

否則逗旁，即使服務(wù)器同意發(fā)送Cookie，瀏覽器也不會發(fā)送舆瘪∑В或者，服務(wù)器要求設(shè)置Cookie英古，瀏覽器也不會處理淀衣。

但是，如果省略withCredentials設(shè)置召调，有的瀏覽器還是會一起發(fā)送Cookie膨桥。這時，可以顯式關(guān)閉withCredentials唠叛。

xhr.withCredentials=false;

需要注意的是只嚣，如果要發(fā)送Cookie，Access-Control-Allow-Origin就不能設(shè)為星號艺沼，必須指定明確的册舞、與請求網(wǎng)頁一致的域名。同時澳厢，Cookie依然遵循同源政策环础，只有用服務(wù)器域名設(shè)置的Cookie才會上傳囚似，其他域名的Cookie并不會上傳，且（跨源）原網(wǎng)頁代碼中的document.cookie也無法讀取服務(wù)器域名下的Cookie线得。

四饶唤、非簡單請求

4.1 預(yù)檢請求

非簡單請求是那種對服務(wù)器有特殊要求的請求，比如請求方法是PUT或DELETE贯钩，或者Content-Type字段的類型是application/json募狂。

非簡單請求的CORS請求，會在正式通信之前角雷，增加一次HTTP查詢請求祸穷，稱為"預(yù)檢"請求（preflight）。

瀏覽器先詢問服務(wù)器勺三，當前網(wǎng)頁所在的域名是否在服務(wù)器的許可名單之中雷滚，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復(fù)吗坚，瀏覽器才會發(fā)出正式的XMLHttpRequest請求祈远，否則就報錯。

下面是一段瀏覽器的JavaScript腳本商源。

varurl='http://api.alice.com/cors';varxhr=newXMLHttpRequest();xhr.open('PUT',url,true);xhr.setRequestHeader('X-Custom-Header','value');xhr.send();

上面代碼中车份，HTTP請求的方法是PUT，并且發(fā)送一個自定義頭信息X-Custom-Header牡彻。

瀏覽器發(fā)現(xiàn)扫沼，這是一個非簡單請求，就自動發(fā)出一個"預(yù)檢"請求庄吼，要求服務(wù)器確認可以這樣請求缎除。下面是這個"預(yù)檢"請求的HTTP頭信息。

OPTIONS /cors HTTP/1.1Origin:http://api.bob.comAccess-Control-Request-Method:PUTAccess-Control-Request-Headers:X-Custom-HeaderHost:api.alice.comAccept-Language:en-USConnection:keep-aliveUser-Agent:Mozilla/5.0...

"預(yù)檢"請求用的請求方法是OPTIONS霸褒，表示這個請求是用來詢問的伴找。頭信息里面盈蛮，關(guān)鍵字段是Origin废菱，表示請求來自哪個源。

除了Origin字段抖誉，"預(yù)檢"請求的頭信息包括兩個特殊字段殊轴。

（1）Access-Control-Request-Method

該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法袒炉，上例是PUT旁理。

（2）Access-Control-Request-Headers

該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發(fā)送的頭信息字段我磁，上例是X-Custom-Header孽文。

4.2 預(yù)檢請求的回應(yīng)

服務(wù)器收到"預(yù)檢"請求以后驻襟，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后芋哭，確認允許跨源請求沉衣，就可以做出回應(yīng)。

HTTP/1.1 200 OKDate:Mon, 01 Dec 2008 01:15:39 GMTServer:Apache/2.0.61 (Unix)Access-Control-Allow-Origin:http://api.bob.comAccess-Control-Allow-Methods:GET, POST, PUTAccess-Control-Allow-Headers:X-Custom-HeaderContent-Type:text/html; charset=utf-8Content-Encoding:gzipContent-Length:0Keep-Alive:timeout=2, max=100Connection:Keep-AliveContent-Type:text/plain

上面的HTTP回應(yīng)中减牺，關(guān)鍵的是Access-Control-Allow-Origin字段豌习，表示http://api.bob.com可以請求數(shù)據(jù)。該字段也可以設(shè)為星號拔疚，表示同意任意跨源請求肥隆。

Access-Control-Allow-Origin:*

如果瀏覽器否定了"預(yù)檢"請求，會返回一個正常的HTTP回應(yīng)稚失，但是沒有任何CORS相關(guān)的頭信息字段栋艳。這時，瀏覽器就會認定句各，服務(wù)器不同意預(yù)檢請求嘱巾，因此觸發(fā)一個錯誤，被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲诫钓⊙眩控制臺會打印出如下的報錯信息。

XMLHttpRequest cannot load http://api.alice.com.Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務(wù)器回應(yīng)的其他CORS相關(guān)字段如下菌湃。

Access-Control-Allow-Methods:GET, POST, PUTAccess-Control-Allow-Headers:X-Custom-HeaderAccess-Control-Allow-Credentials:trueAccess-Control-Max-Age:1728000

（1）Access-Control-Allow-Methods

該字段必需问拘，它的值是逗號分隔的一個字符串，表明服務(wù)器支持的所有跨域請求的方法惧所。注意骤坐，返回的是所有支持的方法，而不單是瀏覽器請求的那個方法下愈。這是為了避免多次"預(yù)檢"請求纽绍。

（2）Access-Control-Allow-Headers

如果瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的势似。它也是一個逗號分隔的字符串拌夏，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請求的字段履因。

（3）Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同障簿。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預(yù)檢請求的有效期栅迄，單位為秒站故。上面結(jié)果中，有效期是20天（1728000秒）毅舆，即允許緩存該條回應(yīng)1728000秒（即20天）西篓，在此期間愈腾，不用發(fā)出另一條預(yù)檢請求。

4.3 瀏覽器的正常請求和回應(yīng)

一旦服務(wù)器通過了"預(yù)檢"請求岂津，以后每次瀏覽器正常的CORS請求顶滩，就都跟簡單請求一樣，會有一個Origin頭信息字段寸爆。服務(wù)器的回應(yīng)礁鲁，也都會有一個Access-Control-Allow-Origin頭信息字段。

下面是"預(yù)檢"請求之后赁豆，瀏覽器的正常CORS請求仅醇。

PUT /cors HTTP/1.1Origin:http://api.bob.comHost:api.alice.comX-Custom-Header:valueAccept-Language:en-USConnection:keep-aliveUser-Agent:Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動添加的。

下面是服務(wù)器正常的回應(yīng)魔种。

Access-Control-Allow-Origin:http://api.bob.comContent-Type:text/html; charset=utf-8

上面頭信息中析二，Access-Control-Allow-Origin字段是每次回應(yīng)都必定包含的。

五节预、與JSONP的比較

CORS與JSONP的使用目的相同叶摄，但是比JSONP更強大。

JSONP只支持GET請求安拟，CORS支持所有類型的HTTP請求蛤吓。JSONP的優(yōu)勢在于支持老式瀏覽器，以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)糠赦。