我正在写一个网络服务。 我想向我的服务器提供第三方网站和api。 我这样做是为了向他们提供一个javascript文件,他们可以从我的服务器中包含它。 与Facebook / Twitter / Google正在做的很相似。
问题是同源策略禁止他们调用我的API服务器。实现我的API文件+服务器的干净和正确的方法是什么?
我是否应该允许我的服务器上的跨源请求来自任何人,或者我可以在JavaScript文件中放入什么内容?
答案 0 :(得分:2)
要启用CORS,您需要在回复中添加标题Access-Control-Allow-Origin: *
。这将允许任何网站调用您的服务(您可以限制访问更改*与允许的域)。 This是一个很好的参考