Tất cả các trình duyệt hiện đại đều hỗ trợ CORS và từ đó chúng tôi nên tận dụng bổ sung này.
Nó hoạt động trên kỹ thuật bắt tay đơn giản là 2 miền truyền thông tin tưởng lẫn nhau bằng cách gửi tiêu đề HTTP/nhận được. Điều này đã được chờ đợi từ lâu vì chính sách gốc giống nhau là cần thiết để tránh XSS và các nỗ lực độc hại khác.
Để bắt đầu yêu cầu nguồn gốc, trình duyệt sẽ gửi yêu cầu với tiêu đề HTTP gốc. Giá trị của tiêu đề này là trang phục vụ trang. Ví dụ: giả sử một trang trên http://www.example-social-network.com nỗ lực truy cập vào dữ liệu của người dùng trong online-personal-calendar.com. Nếu trình duyệt của người dùng thực hiện CORS, tiêu đề yêu cầu sau đây sẽ được gửi:
Xuất xứ: http://www.example-social-network.com
Nếu online-personal-calendar.com phép theo yêu cầu, nó sẽ gửi một tiêu đề Access-Control-Allow-Origin trong phản ứng của nó. Giá trị của tiêu đề cho biết các trang web gốc nào được cho phép. Ví dụ, một phản ứng với yêu cầu trước đó sẽ chứa những điều sau đây:
Access-Control-Allow-Origin: http://www.example-social-network.com
Nếu máy chủ không cho phép yêu cầu cross-nguồn gốc, trình duyệt sẽ cung cấp một lỗi trang example-social-network.com thay vì trả lời trực tuyến-personal-calendar.com.
Để cho phép truy cập vào tất cả các trang, một máy chủ có thể gửi đáp ứng tiêu đề sau đây:
Access-Control-Allow-Origin: *
Tuy nhiên, điều này có thể không thích hợp cho các tình huống trong đó an ninh là một mối quan tâm.
Rất được giải thích ở đây dưới trang wiki. http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
Nguồn
2012-11-30 15:29:17
Có thể là không. Đây là hai tên miền khác nhau nên yêu cầu miền chéo do đó bị chặn bởi trình duyệt. –