js-跨域源资源共享（CORS）

### 一. CORS（Cross-Origin Resource Sharing,跨域源资源共享）

　　基本思想：使用自定义HTTP头部让浏览器与服务器进行沟通

　　　　发送请求时，需附加一个Origin头部

　　　　　　eg：   Origin:   http://www.xxx.net

　　如果服务认为这个请求可以接受，就在Access-Control-Allow-Origin投不中回发相同的源信息

　　　　Access-Control-Allow-Origin: http://www.xxx.net

　　1)  IE对CORS的实现

　　　　XDR（XDomainRequest），这个对象与XHR类似

　　　　　　1.1） 与XHR区别：

　　　　　　　　cookie不会随请求发送，也不会随响应返回

　　　　　　　　只能设置请求头部信息中的Content-Type字段

　　　　　　　　不能访问响应头部信息

　　　　　　　　只支持GET和POST请求

　　　　该对象的创建与发送请求的方法与XHR相似，但open()方法只含两个参数（请求类型，URL）

　　　　**所有的XDR请求都是异步执行的**

　　　　eg：  var xdr = new XDomainRequest（）；

　　　　　　　xdr.onload =  function(){

　　　　　　　　　alert(xdr.responseText);

　　　　　　　}

　　　　　　　xdr.open("get",http://www.xxx.com/page/*);

　　　　　　　xdr.send(null)

　　　　在接收到响应后，你只能访问响应的原始文本；没有办法确定响应的状态代码，只要成功就会触发load事件，如果失败触发error事件

　　　　XDR提供了contentType属性，用来表示发送数据的格式，定义在open及send方法之间

　　2.）其他浏览器对CORS的实现

　　　　其他浏览器通过XMLHttpRequest对象实现对CORS的原生支持

　　　　请求位于另外一个域中的资源，使用标准 的XHR对象并在open中的URL中传入绝对URL即可

　　　　　　eg：    xhr.open("GET","http://www.somewhere.com/page/",true)

　　3.) 带凭据的请求

　　　　默认情况下，跨源请求不提供凭据（cookie、HTTP认证及客户端SSL证明等）。通过将withCredentials属性设置为true，可以指定某个请求应该发送凭据

　　　　　　

　　　　　　XMLHttpRequest.withCredentials  属性是一个Boolean类型，它指示了是否该使用类似cookies,authorization headers(头部授权)或者TLS客户端证书这一类资格证书来创建一个跨站点访问控制（cross-site Access-Control）请求。在同一个站点下使用withCredentials属性是无效的。

　　　　　　此外，这个指示也会被用做响应中cookies 被忽视的标示。默认值是false。

　　　　　　如果在发送来自其他域的XMLHttpRequest请求之前，未设置withCredentials 为true，那么就不能为它自己的域设置cookie值。而通过设置withCredentials 为true获得的第三方cookies，将会依旧享受同源策略，因此不能被通过document.cookie或者从头部相应请求的脚本等访问

　　4.） 跨浏览器的CORS

　　　　检测XHR是否支持CORS的最简单方法，就是检查是否存在withCredentials属性。再结合检测XDomainRequest对象是否存在

　　　　eg：

　　　　　　function createCORSRequest(method,url){

　　　　　　　　var xhr = new XMLHttpRequest();

　　　　　　　　if("withCredentials" in xhr){

　　　　　　　　　　xhr.open(method,url,true)

　　　　　　　　}else if(typeof XDomainRequest != "undefined"){    // IE

　　　　　　　　　　xhr = new XDomainRequest

　　　　　　　　}else{

　　　　　　　　　　xhr = null

　　　　　　　　}

　　　　　　　　return xhr;　　　　　　　　　

　　　　　　}

　　　　var request = createCORSRequset("get","http://somewhere-else.com/page/")

　　　　if(request){

　　　　　　request.onload = function(){

　　　　　　　　alert(request.responseText)

　　　　　　}

　　　　　　request.send()

　　　　}