前端跨域问题及解决方案(7)

// 以上是浏览器发送请求HTTP/1.1 200 OKDate: Mon, 01 Dec 2008 00:23:53 GMTServer: Apache/2.0.61 Access-Control-Allow-Origin: *// 这表明服务器接受来自任何站点的跨站请求。如果设置为http://foo.example。其它站点就不能跨站访问 http://bar.other 的资源了。Keep-Alive: timeout=2, max=100Connection: Keep-AliveTransfer-Encoding: chunkedContent-Type: application/xml//以上是服务器返回信息给浏览器
如上，通过使用 Origin 和 Access-Control-Allow-Origin 就可以完成最简单的跨站请求。不过服务器需要把 Access-Control-Allow-Origin 设置为 * 或者包含由 Origin 指明的站点。

4.3.2、预请求

不同于上面讨论的简单请求，“预请求”要求必须先发送一个 OPTIONS 请求给目的站点，来查明这个跨站请求对于目的站点是不是安全可接受的。这样做，是因为跨站请求可能会对目的站点的数据造成破坏。 当请求具备以下条件，就会被当成预请求处理：
请求以 GET, HEAD 或者 POST 以外的方法发起请求。或者，使用 POST，但请求数据为 application/x-www-form-urlencoded, multipart/form-data 或者 text/plain 以外的数据类型。比如说，用 POST 发送数据类型为 application/xml 或者 text/xml 的 XML 数据的请求。 使用自定义请求头（比如添加诸如 X-PINGOTHER）
一个例子：
var invocation = new XMLHttpRequest();var url = "http://bar.other/resources/post-here/";var body = "{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}Arun";function callOtherDomain(){ if(invocation){ invocation.open("POST", url, true); invocation.setRequestHeader("X-PINGOTHER", "pingpong"); invocation.setRequestHeader("Content-Type", "application/xml"); invocation.onreadystatechange = handler; invocation.send(body); }}