CORS相关

CORS，全称Cross Origin Resource Sharing（跨域资源共享）。当浏览器请求不同的域名，不同的协议(http、https)，不同的端口时就会发生跨域。
CORS请求有两种类型：
1.简单请求，简单请求会直接请求服务端，不会触发OPTIONS预检请求

• 请求方法为这三种之一：GET、HEAD、POST
• 允许人为设置字段的头部为：Accept、Accept-Language、Content-Language、Content-Type、DPR、Downlink、Save-Data、Viewport-Width、Width
• Content-Type值为这三种之一：text/plain、multipart/form-data、application/x-www-form-urlencoded
  

（图片来源mdn）

2.复杂请求，不满足以上条件的请求就是复杂请求。浏览器在检测当一次请求是复杂情况时，会首先使用OPTIONS方法发起一个预检请求到服务端，以获知服务器是否允许本次请求。

其中服务器返回的重要字段信息：

• Access-Control-Allow-Origin，表明服务器的资源可以被哪些域访问，如果值为"*"，则任何域都可以访问资源，如果设为“http://foo.example”，则限定域为http://foo.example
• Access-Control-Allow-Methods：服务端允许的跨域访问方法，可以指定为：GET、POST等
• Access-Control-Allow-Methods：服务端允许的请求头部字段
• Access-Control-Allow-Credentials：一般而言，浏览器在发起跨域请求时不会携带cookie信息，需要在请求时手动设置Access-Control-Allow-Credentials为true。随后收到服务端的响应头部中，如果未携带 Access-Control-Allow-Credentials: true，浏览器不会将响应发给实际请求者。注意，浏览器发起的附带身份信息的请求，服务器不得设置 Access-Control-Allow-Origin 的值为"*"