CORS错误报头Allow-Origin * http vs https

CORS（跨源资源共享）错误是由于浏览器的安全策略阻止了从一个域名访问另一个域名的资源

当你在浏览器中使用 XMLHttpRequest 或 Fetch API 发起跨域请求时，浏览器会发送一个预检请求（OPTIONS 请求），询问目标服务器是否允许该跨域请求。服务器在响应中通过设置 CORS 相关的 HTTP 头来决定是否允许跨域访问。

关于 "Allow-Origin: *" 和 "http vs https" 问题，以下是一些解释：

Allow-Origin: *

Allow-Origin: * 是一种通配符，表示服务器允许任何域名进行跨域访问。这意味着，不论是什么域名发起请求，服务器都会允许访问其资源。这是一个宽松的 CORS 策略，但在涉及敏感信息或需要身份验证的情况下，不建议使用。

http vs https

当服务器使用 "http" 协议时，它仅允许来自 "http" 请求的跨域访问。如果你的前端应用使用 "https" 协议，则可能会遇到 CORS 错误，因为浏览器会阻止混合内容（mixed content），即在 "https" 页面中加载 "http" 资源。

为了解决这个问题，你可以采取以下措施：

1. 将服务器的 CORS 策略从 "http" 更改为 "https"，这样服务器将允许来自 "https" 请求的跨域访问。
2. 如果无法更改服务器配置，可以考虑使用代理服务器。在这种情况下，前端应用将请求代理服务器，代理服务器将请求目标服务器并将响应返回给前端。这样，前端应用与代理服务器之间的通信将使用 "https"，而代理服务器与目标服务器之间的通信将使用 "http"。这种方法可以绕过浏览器的混合内容限制。