fetch跨域 strict-origin-when-cross-origin

"fetch" 是浏览器原生支持的 API，用于发送 HTTP 请求并获取响应。当涉及到跨域请求时，浏览器出于安全考虑会默认实施同源策略（Same-Origin Policy），不允许来自非同源服务器的数据直接访问。`strict-origin-when-cross-origin` 是 CORS（Cross-Origin Resource Sharing，跨源资源共享）策略的一种。

这个策略告诉浏览器，只有当发起的请求属于 CORS 跨域请求时（即不同源的请求），才会检查响应头中的 `Access-Control-Allow-Origin` 字段，如果该字段的值包含 "strict-origin" 或者当前源地址，则允许访问。这比默认的 "no-cors" 更宽松一些，因为它允许服务端设置特定的来源来接受跨域请求，而不是完全拒绝。

相关问题

strict-origin-when-cross-origin lamp

strict-origin-when-cross-origin是一种安全策略，用于保护Web应用程序免受跨站点请求伪造（CSRF）攻击。它是一种CORS（跨源资源共享）策略，用于限制在跨域请求中发送的信息。

当一个网页上的脚本尝试通过XMLHttpRequest或Fetch API发送跨域请求时，浏览器会根据CORS策略来判断是否允许该请求。如果使用了strict-origin-when-cross-origin策略，浏览器会在同源请求（即请求与当前页面具有相同的协议、域名和端口）中发送完整的请求头信息，但在跨域请求中只发送基本的安全请求头信息。

这种策略的目的是防止敏感信息泄露给第三方网站，同时确保在同源请求中可以正常传递必要的信息。通过限制跨域请求的信息，可以减少潜在的安全风险。

strict-origin-when-cross-origin nginx

strict-origin-when-cross-origin是一种安全策略，用于在浏览器中处理跨域请求。它是由W3C的Fetch标准定义的一种CORS（跨域资源共享）策略。

当浏览器发起跨域请求时，会根据请求头中的Origin字段判断是否允许该请求。如果Origin字段与目标服务器的域名不匹配，浏览器会发送一个预检请求（OPTIONS请求）来获取服务器对跨域请求的支持情况。

在预检请求中，浏览器会发送一个Access-Control-Request-Method字段，用于告知服务器实际请求所使用的HTTP方法。服务器在收到预检请求后，可以根据该字段来判断是否允许实际请求。

而strict-origin-when-cross-origin策略则是在预检请求中的Access-Control-Allow-Origin响应头中返回了实际请求的Origin字段，即只有当实际请求与预检请求的Origin字段完全匹配时，浏览器才会允许跨域请求。

nginx是一个高性能的开源Web服务器软件，它支持反向代理、负载均衡、缓存等功能。在nginx中配置strict-origin-when-cross-origin策略可以通过设置Access-Control-Allow-Origin响应头来实现。