CORS
CORS(跨域資源共享)是一個系統,由傳輸HTTP 頭部組成,它決定瀏覽器是否阻止前端 JavaScript 程式碼訪問跨域請求的響應。
同源安全策略禁止跨域訪問資源。但是 CORS 允許 Web 伺服器表明它們希望允許跨域訪問其資源。
CORS 頭部
Access-Control-Allow-Origin-
指示是否可以共享響應。
Access-Control-Allow-Credentials-
指示當憑據標誌為 true 時,請求的響應是否可以暴露。
Access-Control-Allow-Headers-
用於響應預檢請求,指示在發出實際請求時可以使用哪些 HTTP 頭部。
Access-Control-Allow-Methods-
響應預檢請求時,指定訪問資源時允許的方法。
Access-Control-Expose-Headers-
透過列出名稱,指示響應中可以暴露哪些頭部。
Access-Control-Max-Age-
指示預檢請求的結果可以被快取多長時間。
Access-Control-Request-Headers-
在發出預檢請求時使用,讓伺服器知道在發出實際請求時將使用哪些 HTTP 頭部。
Access-Control-Request-Method-
在發出預檢請求時使用,讓伺服器知道在發出實際請求時將使用哪個HTTP 方法。
Origin-
指示抓取源自何處。
Timing-Allow-Origin-
指定允許哪些源檢視透過資源計時 API 的特性檢索到的屬性值,否則這些值會因跨域限制而被報告為零。