跨域CORS新特性

Question

我是新手，所以有一些问题，我想问后，查找了一堆与CORS相关的网站。

首先，假设我有一个http://domain1.com，它有一个对http://domain2.com的ajax调用，我在http://enable-cors.org/server.html上查找它，说我必须添加

Access-Control-Allow-Origin: *

或者将此设置添加到应用程序根目录上的web.config中，但我感到困惑，我应该将响应头添加到domain1还是domain2应用程序中？我的猜测是添加到domain2中，但我不能确定，因为我没有测试它所需的东西。

此外，如果domain2.com是https格式的，意味着我从http调用https，这会起作用吗？

那么IE呢？

Answer 1

您应该将其添加到http://domain2.com上，因为Access-Control-Allow-Origin是http://domain1.com从http://domain2.com获取信息的权限。请注意，(*)符号表示域允许所有人访问，因此您需要小心。更好的选择是：

Access-Control-Allow-Origin: http://domain1.com

它可以很好地用于IE和https：

Access-Control-Allow-Origin: http://domain1.com, https://domain1.com

请查看更多信息here。