CORS 协议（跨域资源共享）

跨域问题

只要协议、域名、端口有任何一个不同，都被当作是不同的域。

为什么会有跨域的限制?

之前发生过的一些跨域安全事件：

新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名为hellosamy的用户。
事件的经过线索如下：
20:14，开始有大量带V的认证用户中招转发蠕虫
20:30，某网站中的病毒页面无法访问
20:32，新浪微博中hellosamy用户无法访问
21:02，新浪漏洞修补完毕

http://coolshell.cn/articles/4914.html

百度贴吧xss攻击事件

2014年3月9晚，六安吧等几十个贴吧出现点击推广贴会自动转发等。

并且受到xss攻击的转帖吧友所关注的每个关注的贴吧都会转一遍，病毒循环发帖。并且导致吧务人员，和吧友被封禁。

CORS 协议

CORS 协议是W3C的标准协议（https://www.w3.org/TR/cors/ ），

CORS（Cross-Origin Resource Sharing）跨域资源共享，这个协议定义了必须在访问跨域资源时，浏览器与服务器应该如何沟通。CORS背后的基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通，从而决定请求或响应是应该成功还是失败。

CORS 浏览器的支持情况

各种浏览器对 CORS 的支持情况如下图。（图来自： http://caniuse.com/#search=CORS）

IE11 does not appear to support CORS for images in the canvas element
Android and some old versions of WebKit (that may be found in various webview implementations) do not support Access-Control-Expose-Headers: https://code.google.com/p/android/issues/detail?id=56726
IE10+ does not make a CORS request if port is the only difference (IE Bug #781303)
IE10+ does not send cookies when withCredential=true (IE Bug #759587). A workaround is to use a P3P policy

CORS 的工作流

图来自： http://www.html5rocks.com/en/tutorials/cors/

如果浏览器自身提供对CROS的支持，由它发送的请求会携带一个名为“Origin”的报头表明请求页面所在的站点。

资源获取请求被提供者接收之后，它可以根据该报头确定提供的资源需要共享给谁。资源提供者的授权通过一个名为“Access-Control-Allow-Origin”的响应报头来承载，其报头值表示得到授权的站点。一般来说，如果资源的提供者认可了当前请求的“Origin”报头携带的站点，那么它会将该站点作为“Access-Control-Allow-Origin”响应报头的值。除了指定具体的源并对其作针对性授权之外，资源提供者还可以将“Access-Control-Allow-Origin”报头值设置为“*”对所有消费者授权。

当浏览器接收到包含资源的响应之后，会提取此“Access-Control-Allow-Origin”响应报头的值。如果此值为“*”或者包含的源列表包含此前请求的源（即请求的“Origin”报头值），意味着资源的消费者获取了提供者获取和操作资源的权限，所以浏览器会允许JavaScript程序操作获取的资源。如果此响应报头不存在或者其值为“null”，客户端JavaScript程序针对资源的操作会被拒绝。