（1）CORS

下面是MDN對于CORS的定義：

跨域資源共享(CORS) 是一種機制，它使用額外的 HTTP 頭來告訴瀏覽器  讓運行在一個 origin (domain)上的Web應用被準許訪問來自不同源服務器上的指定的資源。當一個資源從與該資源本身所在的服務器不同的域、協議或端口請求一個資源時，資源會發起一個跨域HTTP 請求。

CORS需要瀏覽器和服務器同時支持，整個CORS過程都是瀏覽器完成的，無需用戶參與。因此實現CORS的關鍵就是服務器，只要服務器實現了CORS請求，就可以跨源通信了。

瀏覽器將CORS分為簡單請求和非簡單請求：

簡單請求不會觸發CORS預檢請求。若該請求滿足以下兩個條件，就可以看作是簡單請求：

1）請求方法是以下三種方法之一：HEADGETPOST2）HTTP的頭信息不超出以下幾種字段：AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain若不滿足以上條件，就屬于非簡單請求了。

（1）簡單請求過程：

對于簡單請求，瀏覽器會直接發出CORS請求，它會在請求的頭信息中增加一個Orign字段，該字段用來說明本次請求來自哪個源（協議+端口+域名），服務器會根據這個值來決定是否同意這次請求。如果Orign指定的域名在許可范圍之內，服務器返回的響應就會多出以下信息頭：

如果Orign指定的域名不在許可范圍之內，服務器會返回一個正常的HTTP回應，瀏覽器發現沒有上面的Access-Control-Allow-Origin頭部信息，就知道出錯了。這個錯誤無法通過狀態碼識別，因為返回的狀態碼可能是200。

在簡單請求中，在服務器內，至少需要設置字段：Access-Control-Allow-Origin

（2）非簡單請求過程

非簡單請求是對服務器有特殊要求的請求，比如請求方法為DELETE或者PUT等。非簡單請求的CORS請求會在正式通信之前進行一次HTTP查詢請求，稱為預檢請求。

瀏覽器會詢問服務器，當前所在的網頁是否在服務器允許訪問的范圍內，以及可以使用哪些HTTP請求方式和頭信息字段，只有得到肯定的回復，才會進行正式的HTTP請求，否則就會報錯。

預檢請求使用的請求方法是OPTIONS，表示這個請求是來詢問的。他的頭信息中的關鍵字段是Orign，表示請求來自哪個源。除此之外，頭信息中還包括兩個字段：Access-Control-Request-Method：該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法。

Access-Control-Request-Headers： 該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發送的頭信息字段。服務器在收到瀏覽器的預檢請求之后，會根據頭信息的三個字段來進行判斷，如果返回的頭信息在中有Access-Control-Allow-Origin這個字段就是允許跨域請求，如果沒有，就是不同意這個預檢請求，就會報錯。

服務器回應的CORS的字段如下：

只要服務器通過了預檢請求，在以后每次的CORS請求都會自帶一個Origin頭信息字段。服務器的回應，也都會有一個Access-Control-Allow-Origin頭信息字段。

在非簡單請求中，至少需要設置以下字段：

減少OPTIONS請求次數：