跨域与CORS：你真的懂吗？揭秘Img引图跨域背后的知识

跨域请求的痛点：浏览器同源策略的枷锁

在前端开发中，跨域请求是一个常见的难题，它源于浏览器实施的同源策略。同源策略是一道安全防线，旨在防止恶意网站窃取用户敏感数据或执行非法操作。简单来说，同源策略规定只有来自相同协议、域名和端口的资源才能相互通信。

CORS：跨越同源壁垒的利器

跨域资源共享（CORS）应运而生，它巧妙地突破了同源策略的限制，允许不同来源的资源实现跨域交互。CORS的工作机制是这样的：当浏览器发出跨域请求时，它会先发送一个预检请求（OPTIONS请求）到服务器，询问服务器是否允许跨域请求。服务器收到预检请求后，会返回一个预检响应（OPTIONS响应），其中包含了允许跨域请求的详细信息，如允许的请求方法、允许的请求头等。浏览器收到预检响应后，会根据预检响应的信息决定是否发送真正的跨域请求。

简单请求与复杂请求：跨域请求的分类

CORS将跨域请求划分为两种类型：简单请求和复杂请求。简单请求是指满足以下条件的请求：

• 请求方法为GET、HEAD或POST
• 请求头中没有自定义头信息
• 请求体为空，或者只包含文本、UTF-8字符串、表单数据或Multipart/form-data

复杂请求是指不满足简单请求条件的请求，例如：

• 请求方法为PUT、DELETE、PATCH等
• 请求头中包含自定义头信息
• 请求体包含非文本的数据，如二进制数据、JSON数据等

解决跨域问题的其他妙招

除了CORS机制，还有一些其他方法可以解决跨域问题，它们各有优缺点：

JSONP：脚本标签的跨域跳板

JSONP（JSON with Padding）是一种利用