常规网页可以使用XMLHttpRequest对象与远程服务器发送和接收数据，但它们受同源策略的限制。扩展程序则没有这种限制。只要首先请求跨域权限，扩展程序就可以与其来源外的远程服务器通信。

警告：使用 Access-Control-Allow-Origin: * 可能会使您的API/网站容易受到跨站请求伪造（CSRF）攻击。在使用此代码之前，务必了解风险。

如果您正在使用PHP，那么解决方法非常简单。只需在处理请求的 PHP 页面开头添加以下脚本即可：

<?php header('Access-Control-Allow-Origin: *'); ?>

// The following property can be used to configure cross-origin resource sharing
// in the HTTP nodes.
// See https://github.com/troygoode/node-cors#configuration-options for
// details on its contents. The following is a basic permissive set of options:
httpNodeCors: {
  origin: "*",
  methods: "GET,PUT,POST,DELETE"
},

pip install -U flask-cors

然后在你的应用程序中包含 Flask cors 包。

from flask_cors import CORS

from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

@app.route("/")
def helloWorld():
  return "Hello, cross-origin-world!"

如需更多详情，请查看Flask文档。

因为$.ajax({type: "POST"调用的是OPTIONS，而$.post( 调用的是POST。二者是不同的。Postman 可以正确地调用“POST”，但我们调用时会变成“OPTIONS”。

对于 C# web 服务——Web API

请在您的 web.config 文件的 <system.webServer> 标签下添加以下代码。这样就可以正常工作：

<httpProtocol>
    <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
    </customHeaders>
</httpProtocol>

jQuery

$.ajax({
    url: 'http://mysite.microsoft.sample.xyz.com/api/mycall',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded'
    },
    type: "POST", /* or type:"GET" or type:"PUT" */
    dataType: "json",
    data: {
    },
    success: function (result) {
        console.log(result);
    },
    error: function () {
        console.log("error");
    }
});

注意: 如果你想从第三方网站下载内容，那么这并不能帮助你。你可以尝试以下代码，但不是JavaScript。

System.Net.WebClient wc = new System.Net.WebClient();
string str = wc.DownloadString("http://mysite.microsoft.sample.xyz.com/api/mycall");

深层

在下面的调查中，我使用http://example.com作为API地址，而不是你提出的http://myApiUrl/login，因为前者可用。我假设你的页面位于http://my-site.local:8088。

注意：API和你的页面拥有不同的域名！

你看到不同的结果的原因是Postman：

• 设置头部Host = example.com（你的API）
• 未设置头部Origin
• Postman实际上根本不使用你的网站URL（你只是在Postman中键入API地址），他只发送请求到API，所以他认为网站的地址与API相同（浏览器不会这么认为）

这类似于当站点和API具有相同域时浏览器发送请求的方式（浏览器也设置了头部项Referer=http://my-site.local: 8088 ，但我在Postman中没有看到它）。 当 Origin 头部未设置时，通常服务器默认允许此类请求。

这是Postman发送请求的标准方式。但是，当你的站点和API具有不同的域名时，浏览器会以不同的方式发送请求，然后CORS出现，并自动：

• 设置头部Host=example.com（为API）
• 设置头部Origin=http://my-site.local:8088（为你的站点）

（头部Referer的值与Origin相同）。现在在Chrome的控制台和网络选项卡中，你将看到：

当你的Host！= Origin时，这是CORS，当服务器检测到这样的请求时，通常会默认阻止它。

Origin=null表示在从本地目录打开HTML内容并发送请求时设置的值。当您在<iframe>内发送请求时，也会出现相同的情况，就像下面的代码片段中一样（但此处根本未设置Host标头） - 通常，在HTML规范中说不透明来源的任何地方，您都可以将其翻译为Origin=null。有关更多信息，请访问此处。

fetch('http://example.com/api', {method: 'POST'});

Look on chrome-console > network tab

如果您不使用简单的CORS请求，通常浏览器在发送主要请求之前会自动发送OPTIONS请求 - 更多信息请参见这里。下面的片段展示了它：

fetch('http://example.com/api', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json'}
});

Look in chrome-console -> network tab to 'api' request.
This is the OPTIONS request (the server does not allow sending a POST request)

您可以更改服务器配置以允许CORS请求。

这是一个示例配置，用于在nginx上启用CORS（nginx.conf文件） - 在设置nginx的 always / "$http_origin"和Apache的" * "时要非常小心 - 这将解除对任何域的CORS阻止（在生产中，使用消耗API的具体页面地址而不是星号）。

location ~ ^/index\.php(/|$) {
   ...
    add_header 'Access-Control-Allow-Origin' "$http_origin" always;
    add_header 'Access-Control-Allow-Credentials' 'true' always;
    if ($request_method = OPTIONS) {
        add_header 'Access-Control-Allow-Origin' "$http_origin"; # DO NOT remove THIS LINES (doubled with outside 'if' above)
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Max-Age' 1728000; # cache preflight value for 20 days
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'My-First-Header,My-Second-Header,Authorization,Content-Type,Accept,Origin';
        add_header 'Content-Length' 0;
        add_header 'Content-Type' 'text/plain charset=UTF-8';
        return 204;
    }
}

以下是一个示例配置，可以在 Apache 上启用 CORS（.htaccess 文件）

# ------------------------------------------------------------------------------
# | Cross-domain Ajax requests                                                 |
# ------------------------------------------------------------------------------

# Enable cross-origin Ajax requests.
# http://code.google.com/p/html5security/wiki/CrossOriginRequestSecurity
# http://enable-cors.org/

# <IfModule mod_headers.c>
#    Header set Access-Control-Allow-Origin "*"
# </IfModule>

# Header set Header set Access-Control-Allow-Origin "*"
# Header always set Access-Control-Allow-Credentials "true"

Access-Control-Allow-Origin "http://your-page.com:80"
Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
Header always set Access-Control-Allow-Headers "My-First-Header,My-Second-Header,Authorization, content-type, csrf-token"

应用CORS限制是由服务器定义并由浏览器实现的安全功能。

浏览器查看服务器的CORS策略并遵守它。

然而，Postman工具不会考虑服务器的CORS策略。

这就是为什么浏览器会出现CORS错误，但在Postman中不会出现。

解决方案和问题起源

您正在向不同的域名发出XMLHttpRequest请求，例如：

1. 域名一：some-domain.com
2. 域名二：some-different-domain.com

这种域名差异会触发CORS (跨源资源共享) 策略，称为SOP (同源策略)，强制在Ajax、XMLHttpRequest和其他HTTP请求中使用相同的域名（因此称为Origin）。

为什么我通过Chrome扩展程序Postman发送请求时可以工作？

客户端（大多数浏览器和开发工具）可以选择执行同源策略。

大多数浏览器执行同源策略以防止与CSRF (跨站点请求伪造) 攻击相关的问题。

用于浏览器测试的目的：

Windows - 运行：

chrome.exe --user-data-dir="C://Chrome dev session" --disable-web-security

上述命令将禁用Chrome Web安全功能，因此例如您在本地项目中工作并在尝试进行请求时遇到CORS策略问题，可以使用上述命令跳过此类型的错误。基本上它将打开一个新的Chrome会话。