Comment l'en-tête « Access-Control-Allow-Origin » contrôle-t-il le partage de ressources entre origines croisées (CORS) ?

Comprendre l'en-tête « Access-Control-Allow-Origin »

L'en-tête « Access-Control-Allow-Origin » joue un rôle crucial rôle dans le partage de ressources d'origine croisée (CORS) et permet aux navigateurs de déterminer si les ressources récupérées à partir d'une origine différente sont accessibles par un demandeur client.

Au départ, vous avez peut-être cru que MyCode.js, téléchargé à partir du site A, pouvait faire des références d'origine croisée au site B uniquement parce que l'en-tête de réponse contenait « Access-Control-Allow-Origin : http : //siteB.' Cependant, cela est incorrect.

Comment ça marche :

Lorsque le site A demande du contenu au site B, le site B répond par un « Access-Control-Allow-Origin ' en-tête pour indiquer quelles origines sont autorisées à accéder à ses ressources. Par défaut, le contenu du site B est inaccessible aux autres origines. Si le site B envoie une réponse avec l'en-tête suivant :

Access-Control-Allow-Origin: http://siteA.com

il accorde au site A l'autorisation d'accéder à son contenu.

Le navigateur effectue une requête OPTIONS de "contrôle en amont" si la requête est " non simple" (utilise des verbes HTTP autres que GET ou POST, ou des en-têtes de requête non simples). Dans cette requête OPTIONS, le navigateur vérifie si le serveur acceptera la requête réelle. Ce n'est que si le serveur répond avec les en-têtes « Access-Control-Allow-Headers » et « Access-Control-Allow-Methods » appropriés que le navigateur enverra la demande réelle.

Activation de l'accès multi-origine :

Pour activer l'accès du site A au site B à l'aide du 'Access-Control-Allow-Origin' header :

1. Assurez-vous que le site B diffuse ses pages avec le bon en-tête, en spécifiant le domaine du site A comme origine autorisée :

   Access-Control-Allow-Origin: http://siteA.com

2. Comprenez que non -les requêtes simples impliquent une requête OPTIONS de contrôle en amont supplémentaire. Le serveur doit répondre à cette demande OPTIONS avec les en-têtes « Access-Control-Allow-Headers » et « Access-Control-Allow-Methods » appropriés pour autoriser la demande réelle.

En mettant en œuvre ces étapes, vous pouvez effectivement activer le code JavaScript téléchargé à partir du site A pour accéder aux ressources du site B à l'aide de l'en-tête « Access-Control-Allow-Origin ».

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!