哪些浏览器允许使用Access-Control-Allow-Origin进行跨域ajax调用:*？

关于浏览器对Access-Control-Allow-Origin跨域AJAX调用的支持，以下是完整的解答：

基础概念

Access-Control-Allow-Origin是HTTP响应头字段，属于CORS（跨域资源共享）机制的核心部分。它由服务器返回，指示允许哪些外部域通过浏览器发起跨域请求。若值为*，表示允许任意域访问资源（需注意凭证模式下不可用）。

支持浏览器

所有现代浏览器均支持通过Access-Control-Allow-Origin实现跨域AJAX调用，包括：

• Chromium系：Chrome、Edge、Opera、Brave等
• Firefox：所有主流版本
• Safari：包括iOS和macOS版本
• 其他：QQ浏览器、360极速模式等基于Chromium的国产浏览器

关键限制与注意事项

1. 凭证模式禁止* 若请求携带Cookie或认证头（withCredentials: true），服务器必须返回具体的域名（如https://example.com），而非*，否则浏览器会拒绝请求。
2. 预检请求（Preflight） 复杂请求（如自定义头、非简单方法）会触发OPTIONS预检请求，服务器需正确响应Access-Control-Allow-Methods和Access-Control-Allow-Headers。
3. 旧版浏览器兼容性 IE8/9通过XDomainRequest实现部分CORS，但功能有限；IE10+完全支持标准CORS。

示例代码

服务器端配置（Node.js示例）：

const express = require('express');
const app = express();

// 允许所有域访问（非凭证模式）
app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
});

app.get('/api/data', (req, res) => {
  res.json({ message: 'CORS enabled' });
});

app.listen(3000);

客户端AJAX调用：

fetch('https://api.example.com/data')
  .then(response => response.json())
  .then(data => console.log(data));

常见问题与解决

1. 请求被拒绝
   • 检查服务器是否返回正确的Access-Control-Allow-Origin头。
   • 确保未在凭证模式下使用*。

• 预检失败
  • 确认服务器响应了OPTIONS请求，并包含Access-Control-Allow-Methods和Access-Control-Allow-Headers。
• 缓存问题
  • 某些浏览器会缓存CORS响应头，建议在开发阶段禁用缓存或添加Vary: Origin头。

应用场景

• 前后端分离开发时调用第三方API
• 微服务架构中跨子域通信
• 公共API开放给多域名使用（如开放数据接口）

如需进一步调试，可使用浏览器开发者工具的Network面板查看请求/响应头信息。