轉(zhuǎn)載鏈接：https://www.cnblogs.com/raind/p/10771778.html

受瀏覽器的同源策略限制，JavaSript只能請求本域內(nèi)的資源若债。跨域資源共享(Cross-Origin Resource Sharing, CORS)是為解決Ajax技術(shù)難實現(xiàn)跨域問題而提出的一個規(guī)范琉闪，這個規(guī)范試著從根本上解決安全的跨域資源共享問題段审。在此之前，解決此類問題的途徑往往是服務(wù)器代理、JSONP等篓叶，治標(biāo)不治本。目前基本所有瀏覽器都已經(jīng)支持該規(guī)范羞秤。

一個域是由schema缸托、host、port三者共同組成瘾蛋，與路徑無關(guān)俐镐。所謂跨域，是指在http://example-foo.com/域上通過XMLHttpRequest對象調(diào)用http://example-bar.com/域上的資源哺哼。CORS約定服務(wù)器端和瀏覽器在HTTP協(xié)議之上佩抹，通過一些額外HTTP頭部信息，進(jìn)行跨域資源共享的協(xié)商取董。服務(wù)器端和瀏覽器都必需遵循規(guī)范中的要求棍苹。

CORS把HTTP請求分成兩類，不同類別按不同的策略進(jìn)行跨域資源共享協(xié)商茵汰。

簡單跨域請求枢里。
當(dāng)HTTP請求出現(xiàn)以下兩種情況時，瀏覽器認(rèn)為是簡單跨域請求：
1). 請求方法是GET蹂午、HEAD或者POST栏豺，并且當(dāng)請求方法是POST時，Content-Type必須是application/x-www-form-urlencoded, multipart/form-data或者text/plain中的一個值豆胸。
2). 請求中沒有自定義HTTP頭部奥洼。

對于簡單跨域請求，瀏覽器要做的就是在HTTP請求中添加Origin Header配乱，將JavaScript腳本所在域填充進(jìn)去溉卓，向其他域的服務(wù)器請求資源。服務(wù)器端收到一個簡單跨域請求后搬泥，根據(jù)資源權(quán)限配置桑寨，在響應(yīng)頭中添加Access-Control-Allow-Origin Header。瀏覽器收到響應(yīng)后忿檩，查看Access-Control-Allow-Origin Header尉尾，如果當(dāng)前域已經(jīng)得到授權(quán)，則將結(jié)果返回給JavaScript燥透。否則瀏覽器忽略此次響應(yīng)沙咏。

帶預(yù)檢(Preflighted)的跨域請求辨图。
當(dāng)HTTP請求出現(xiàn)以下兩種情況時，瀏覽器認(rèn)為是帶預(yù)檢(Preflighted)的跨域請求：
1). 除GET肢藐、HEAD和POST(only with application/x-www-form-urlencoded, multipart/form-data, text/plain Content-Type)以外的其他HTTP方法故河。
2). 請求中出現(xiàn)自定義HTTP頭部。

帶預(yù)檢(Preflighted)的跨域請求需要瀏覽器在發(fā)送真實HTTP請求之前先發(fā)送一個OPTIONS的預(yù)檢請求吆豹，檢測服務(wù)器端是否支持真實請求進(jìn)行跨域資源訪問鱼的，真實請求的信息在OPTIONS請求中通過Access-Control-Request-Method Header和Access-Control-Request-Headers Header描述，此外與簡單跨域請求一樣痘煤，瀏覽器也會添加Origin Header凑阶。服務(wù)器端接到預(yù)檢請求后，根據(jù)資源權(quán)限配置衷快，在響應(yīng)頭中放入Access-Control-Allow-Origin Header宙橱、Access-Control-Allow-Methods和Access-Control-Allow-Headers Header，分別表示允許跨域資源請求的域蘸拔、請求方法和請求頭师郑。此外，服務(wù)器端還可以加入Access-Control-Max-Age Header都伪，允許瀏覽器在指定時間內(nèi)呕乎，無需再發(fā)送預(yù)檢請求進(jìn)行協(xié)商，直接用本次協(xié)商結(jié)果即可陨晶。瀏覽器根據(jù)OPTIONS請求返回的結(jié)果來決定是否繼續(xù)發(fā)送真實的請求進(jìn)行跨域資源訪問猬仁。這個過程對真實請求的調(diào)用者來說是透明的。

XMLHttpRequest支持通過withCredentials屬性實現(xiàn)在跨域請求攜帶身份信息(Credential先誉，例如Cookie或者HTTP認(rèn)證信息)湿刽。瀏覽器將攜帶Cookie Header的請求發(fā)送到服務(wù)器端后，如果服務(wù)器沒有響應(yīng)Access-Control-Allow-Credentials Header褐耳，那么瀏覽器會忽略掉這次響應(yīng)诈闺。

這里討論的HTTP請求是指由Ajax XMLHttpRequest對象發(fā)起的，所有的CORS HTTP請求頭都可由瀏覽器填充铃芦，無需在XMLHttpRequest對象中設(shè)置雅镊。以下是CORS協(xié)議規(guī)定的HTTP頭，用來進(jìn)行瀏覽器發(fā)起跨域資源請求時進(jìn)行協(xié)商：

Origin刃滓。HTTP請求頭仁烹，任何涉及CORS的請求都必需攜帶。

Access-Control-Request-Method咧虎。HTTP請求頭卓缰，在帶預(yù)檢(Preflighted)的跨域請求中用來表示真實請求的方法。

Access-Control-Request-Headers。HTTP請求頭征唬，在帶預(yù)檢(Preflighted)的跨域請求中用來表示真實請求的自定義Header列表捌显。

Access-Control-Allow-Origin。HTTP響應(yīng)頭总寒，指定服務(wù)器端允許進(jìn)行跨域資源訪問的來源域扶歪。可以用通配符*表示允許任何域的JavaScript訪問資源偿乖，但是在響應(yīng)一個攜帶身份信息(Credential)的HTTP請求時击罪，Access-Control-Allow-Origin必需指定具體的域哲嘲，不能用通配符贪薪。

Access-Control-Allow-Methods。HTTP響應(yīng)頭眠副，指定服務(wù)器允許進(jìn)行跨域資源訪問的請求方法列表画切，一般用在響應(yīng)預(yù)檢請求上。

Access-Control-Allow-Headers囱怕。HTTP響應(yīng)頭霍弹，指定服務(wù)器允許進(jìn)行跨域資源訪問的請求頭列表，一般用在響應(yīng)預(yù)檢請求上娃弓。

Access-Control-Max-Age典格。HTTP響應(yīng)頭，用在響應(yīng)預(yù)檢請求上台丛，表示本次預(yù)檢響應(yīng)的有效時間耍缴。在此時間內(nèi)，瀏覽器都可以根據(jù)此次協(xié)商結(jié)果決定是否有必要直接發(fā)送真實請求挽霉，而無需再次發(fā)送預(yù)檢請求防嗡。

Access-Control-Allow-Credentials。HTTP響應(yīng)頭侠坎，凡是瀏覽器請求中攜帶了身份信息蚁趁，而響應(yīng)頭中沒有返回Access-Control-Allow-Credentials: true的，瀏覽器都會忽略此次響應(yīng)实胸。

總結(jié)：只要是帶自定義header的跨域請求他嫡，在發(fā)送真實請求前都會先發(fā)送OPTIONS請求，瀏覽器根據(jù)OPTIONS請求返回的結(jié)果來決定是否繼續(xù)發(fā)送真實的請求進(jìn)行跨域資源訪問庐完。所以復(fù)雜請求肯定會兩次請求服務(wù)端