Fetch跨源请求攻略：全面解析跨源请求

揭开跨源请求的神秘面纱：深入理解 CORS

前言

网络世界广阔无垠，但当您尝试跨越不同网站的边界时，可能会遇到一个名为“跨源请求”的拦路虎。为了保护用户隐私和安全，浏览器会限制这些请求，但 CORS（跨源资源共享）机制的出现打破了这一壁垒。

什么是 CORS？

CORS 是一套规则，允许不同源网站之间的资源共享。源是指网站的协议、域名和端口。通过 CORS，您可以向其他网站的资源发起请求，而无需担心安全问题。它就像一张通行证，让您在不同的网站之间自由穿梭。

CORS 的工作原理

CORS 遵循一个四步流程：

1. 预检请求： 当浏览器发现您正在进行跨源请求时，它会首先发送一个预检请求到目标网站。该请求包含以下信息：您网站的源地址、您打算使用的请求方法和您打算发送的头部信息。
2. 预检响应： 目标网站会返回一个预检响应，告诉您的浏览器它是否允许您的请求。响应包含以下信息：允许哪些源网站向目标网站发起请求、允许哪些请求方法和允许哪些头部信息在实际请求中被发送。
3. 实际请求： 如果预检请求成功，浏览器会发送实际请求到目标网站。实际请求的头部信息包含与预检请求相同的信息。
4. 实际响应： 目标网站会返回一个实际响应，包含以下信息：允许哪些源网站向目标网站发起请求，以及是否允许在请求中携带凭据（例如 Cookie 或 HTTP 认证信息）。

凭据和 CORS

凭据是客户端浏览器存储的用户身份信息，例如 Cookie 和 HTTP 认证信息。默认情况下，浏览器不会在跨源请求中发送凭据。但是，如果您希望在跨源请求中携带凭据，则需要在请求的头部信息中显式地设置 Access-Control-Allow-Credentials 为 true。

常见的 CORS 错误

当您在实现 CORS 时，可能会遇到以下常见错误：

• No 'Access-Control-Allow-Origin' header is present on the requested resource.： 目标网站未允许您的源网站发起请求。
• Origin 'http://example.com' is not allowed by Access-Control-Allow-Origin.： 目标网站已允许您的源网站发起请求，但请求的源地址与允许的源地址不匹配。
• Preflight response is not successful.： 预检请求未成功，可能是因为目标网站未允许您的请求方法或头部信息。
• Response to preflight request doesn't pass access control check: The 'Access-Control-Allow-Origin' header contains multiple values 'http://example.com', but only one is allowed.： 预检响应中 Access-Control-Allow-Origin 头部信息包含多个值，但只能有一个允许的值。

解决 CORS 错误

解决 CORS 错误的最佳方法是：

• 检查目标网站的 CORS 配置，确保它允许您的源网站发起请求。
• 检查您的请求代码，确保您正在使用正确的请求方法和头部信息。
• 如果您需要在跨源请求中携带凭据，请在请求的头部信息中显式地设置 Access-Control-Allow-Credentials 为 true。

结论

理解 CORS 的工作原理对于在不同网站之间进行数据传输至关重要。通过掌握这些技巧，您可以突破网站之间的壁垒，畅游在网络世界的广阔天地中，自由获取所需的信息和资源。

常见问题解答

1. 什么是简单请求和复杂请求？

• 简单请求是 GET、HEAD 和 POST 请求，并且不包含自定义头部信息。
• 复杂请求是所有其他类型的请求，包括使用自定义头部信息的 PUT、DELETE 和 OPTIONS 请求。

2. 什么是预检请求？

预检请求是一种 OPTIONS 请求，用于在实际请求之前探测目标网站是否允许您的请求。

3. 什么是凭据？

凭据是客户端浏览器存储的用户身份信息，例如 Cookie 和 HTTP 认证信息。

4. 如何在跨源请求中携带凭据？

要在跨源请求中携带凭据，需要在请求的头部信息中显式地设置 Access-Control-Allow-Credentials 为 true。

5. 如果我遇到 CORS 错误，该怎么办？

解决 CORS 错误的最佳方法是检查目标网站的 CORS 配置和您的请求代码。此外，您还可以使用 Chrome 浏览器的 DevTools 来调试 CORS 请求。