API-Server构建指南(4)-跨域

跨域的前世今生系列。
核心： 跨域是浏览器的安全策略
跨域的具体规则 可参考https://blog.csdn.net/qq_38128179/article/details/84956552

可能产生跨域问题的地方，本来只有浏览器，，浏览器在发送请求的 时候，根据请求的源的策略，来鉴定此请求是否跨域。
需要注意的点是。
本来，跨域只是个浏览器的 概念，但是根据spring最新版本 的 默认 跨域策略为。
首先请求中 是否 包含 Origin 这个 header。如不包含此 header，则认为请求不来源于浏览器/无需跨域验证。在有Origin header的时候，则根据服务端配置的 跨域规则来确定是否允许此请求。

如果想要请求一定能通过，则需要保证

1. 请求 中没有 Origin 这个 header
2. 服务端不进行跨域校验
3. 请求 中有 Origin 这个 header，并且 服务端开启了 跨域校验 的情况下，则 需要 保证规则的命中。

另：某些前端的请求库，根据 http标准，在 发现自己是 跨域请求 的 同时 会先发送 一个 OPTION 请求。服务端必须响应此请求，返回一个httpstatus 200 的 空 的响应。错误范例：返回一个 404/或者当做正常请求处理，均会导致无法正常响应。

浏览器在发现本请求 没有 跨域 时，将 不会 携带 Origin 这个 header

出于浏览器安全策略 web 请求库 ，无法强制修改 header 中 的 Origin

在某些框架 下的应用 如 Electron 。其可以将web应用编译为 桌面版 应用，在没有设置的 情况下，其请求 可能会 自带 一个 Origin 的header，值是 类似于 chrom://12312312 的一串字符串，服务端无法配置一个特定的规则来识别 这个 Origin，需要Electron应用 手动配置此Origin为一个特定的 值，或者不传递此Origin。