（1）CORS

下面是MDN對于CORS的定義：

跨域資源共享(CORS) 是一種機(jī)制，它使用額外的 HTTP 頭來告訴瀏覽器  讓運(yùn)行在一個(gè) origin (domain)上的Web應(yīng)用被準(zhǔn)許訪問來自不同源服務(wù)器上的指定的資源。當(dāng)一個(gè)資源從與該資源本身所在的服務(wù)器不同的域、協(xié)議或端口請求一個(gè)資源時(shí)，資源會(huì)發(fā)起一個(gè)跨域HTTP 請求。

CORS需要瀏覽器和服務(wù)器同時(shí)支持，整個(gè)CORS過程都是瀏覽器完成的，無需用戶參與。因此實(shí)現(xiàn)CORS的關(guān)鍵就是服務(wù)器，只要服務(wù)器實(shí)現(xiàn)了CORS請求，就可以跨源通信了。

瀏覽器將CORS分為簡單請求和非簡單請求：

簡單請求不會(huì)觸發(fā)CORS預(yù)檢請求。若該請求滿足以下兩個(gè)條件，就可以看作是簡單請求：

1）請求方法是以下三種方法之一：HEADGETPOST2）HTTP的頭信息不超出以下幾種字段：AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type：只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain若不滿足以上條件，就屬于非簡單請求了。

（1）簡單請求過程：

對于簡單請求，瀏覽器會(huì)直接發(fā)出CORS請求，它會(huì)在請求的頭信息中增加一個(gè)Orign字段，該字段用來說明本次請求來自哪個(gè)源（協(xié)議+端口+域名），服務(wù)器會(huì)根據(jù)這個(gè)值來決定是否同意這次請求。如果Orign指定的域名在許可范圍之內(nèi)，服務(wù)器返回的響應(yīng)就會(huì)多出以下信息頭：

如果Orign指定的域名不在許可范圍之內(nèi)，服務(wù)器會(huì)返回一個(gè)正常的HTTP回應(yīng)，瀏覽器發(fā)現(xiàn)沒有上面的Access-Control-Allow-Origin頭部信息，就知道出錯(cuò)了。這個(gè)錯(cuò)誤無法通過狀態(tài)碼識別，因?yàn)榉祷氐臓顟B(tài)碼可能是200。

在簡單請求中，在服務(wù)器內(nèi)，至少需要設(shè)置字段：Access-Control-Allow-Origin

（2）非簡單請求過程

非簡單請求是對服務(wù)器有特殊要求的請求，比如請求方法為DELETE或者PUT等。非簡單請求的CORS請求會(huì)在正式通信之前進(jìn)行一次HTTP查詢請求，稱為預(yù)檢請求。

瀏覽器會(huì)詢問服務(wù)器，當(dāng)前所在的網(wǎng)頁是否在服務(wù)器允許訪問的范圍內(nèi)，以及可以使用哪些HTTP請求方式和頭信息字段，只有得到肯定的回復(fù)，才會(huì)進(jìn)行正式的HTTP請求，否則就會(huì)報(bào)錯(cuò)。

預(yù)檢請求使用的請求方法是OPTIONS，表示這個(gè)請求是來詢問的。他的頭信息中的關(guān)鍵字段是Orign，表示請求來自哪個(gè)源。除此之外，頭信息中還包括兩個(gè)字段：Access-Control-Request-Method：該字段是必須的，用來列出瀏覽器的CORS請求會(huì)用到哪些HTTP方法。

Access-Control-Request-Headers： 該字段是一個(gè)逗號分隔的字符串，指定瀏覽器CORS請求會(huì)額外發(fā)送的頭信息字段。服務(wù)器在收到瀏覽器的預(yù)檢請求之后，會(huì)根據(jù)頭信息的三個(gè)字段來進(jìn)行判斷，如果返回的頭信息在中有Access-Control-Allow-Origin這個(gè)字段就是允許跨域請求，如果沒有，就是不同意這個(gè)預(yù)檢請求，就會(huì)報(bào)錯(cuò)。

服務(wù)器回應(yīng)的CORS的字段如下：

只要服務(wù)器通過了預(yù)檢請求，在以后每次的CORS請求都會(huì)自帶一個(gè)Origin頭信息字段。服務(wù)器的回應(yīng)，也都會(huì)有一個(gè)Access-Control-Allow-Origin頭信息字段。

在非簡單請求中，至少需要設(shè)置以下字段：

減少OPTIONS請求次數(shù)：