跨來源資源共用 ( CORS，cross-origin-resource-sharing )

###### tags: `Web開發知識` # 跨來源資源共用 ( CORS，cross-origin-resource-sharing ) 預設的情況下，瀏覽器同源會遵守同源政策（same-origin policy），不允許跨域請求（cross-origin）。在 server 未允許的情況下，會得到 blocked by CORS policy 的錯誤。如果 client 希望能過取得跨域的資源，需要由 server 在 response header 中帶上 Access-Control-Allow-Origin 的欄位。 Access-Control-Allow-Origin: * # 允許所有網站發送的請求 Access-Control-Allow-Origin: http://foo.example # 只允許 http://foo.example 的請求 ### 同源政策（same-origin policy）在同源政策（same-origin policy）中規範了那寫資源可以跨源存取，哪些會受到限制。同源的定義簡單如下： * 不同網域（Domain） * 不同通訊協定：HTTP, HTTPS, FTP * 不同連接埠號（Port）一般來說跨來源寫（Cross-origin writes）、跨來源嵌入（Cross-origin embedding）是被允許的，而跨來源讀取（Cross-origin reads）是受限制的。參考 : https://pjchender.dev/webdev/web-cors/#%E5%90%8C%E6%BA%90%E6%94%BF%E7%AD%96same-origin-policy