# CORS ## 简单请求 {% hint style="info" %} (1) 请求方法是以下三种方法之一: * HEAD * GET * POST (2)HTTP的头信息不超出以下几种字段: * Accept * Accept-Language * Content-Language * Last-Event-ID * Content-Type:只限于三个值`application/x-www-form-urlencoded`、`multipart/form-data`、`text/plain` {% endhint %} 对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个`Origin`字段。 下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个`Origin`字段。 ```diff GET /cors HTTP/1.1 + Origin: http://api.bob.com Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0... ``` 如果`Origin`指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含`Access-Control-Allow-Origin`字段(详见下文),就知道出错了,从而抛出一个错误,被`XMLHttpRequest`的`onerror`回调函数捕获。注意,这种错误无法通过状态码识别,因为HTTP回应的状态码有可能是200。 如果`Origin`指定的域名在许可范围内,服务器返回的响应,会多出几个头信息字段。 ``` Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8 ``` ## 非简单请求 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是`PUT`或`DELETE`,或者`Content-Type`字段的类型是`application/json`。 非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求 上面代码中,HTTP请求的方法是`PUT`,并且发送一个自定义头信息`X-Custom-Header`。 浏览器发现,这是一个非简单请求,就自动发出一个"预检"请求,要求服务器确认可以这样请求。下面是这个"预检"请求的HTTP头信息。 ```diff OPTIONS /cors HTTP/1.1 + Origin: http://api.bob.com + Access-Control-Request-Method: PUT + Access-Control-Request-Headers: X-Custom-Header Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0... ``` "预检"请求用的请求方法是`OPTIONS`,表示这个请求是用来询问的。头信息里面,关键字段是`Origin`,表示请求来自哪个源。 服务器收到"预检"请求以后,检查了`Origin`、`Access-Control-Request-Method`和`Access-Control-Request-Headers`字段以后,确认允许跨源请求,就可以做出回应。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://mm.ricky.moe/network/ji-suan-ji-wang-luo/cors.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.