跨源HTTP请求的一个例子:运行在 http://domain-a.com 的JavaScript代码使用XMLHttpRequest来发起一个到 https://domain-b.com/data.json 的请求。

跨源域资源共享( CORS )机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。现代浏览器支持在 API 容器中(例如 XMLHttpRequestFetch )使用 CORS,以降低跨源 HTTP 请求所带来的风险。

同源策略限制的是数据的访问,不限制数据的引用

安装 node-dev

yarn global add node-dev

解决办法:

CORS

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Origin: *

JSONP


可以用request.headers[‘referer’]做检查,限制不是谁都可以访问
const script = document.createElement(‘script’)
script.src = “”
document.body.appendChild(script)

image.png