使用CORS解决跨域问题

CORS（Cross-Origin Resource Sharing）跨域资源共享

因为浏览器的同源策略才出现了跨域问题。 

CORS是一套机制，用于浏览器校验跨域请求。

它的基本理念是：

• 只要服务器明确表示允许，则校验通过
• 服务器明确拒绝或没有表示，则校验不通过

CORS将请求分为两类：

• 简单请求
• 预检请求：非简单请求（options 请求）

满足以下条件的是简单请求：

• 请求方法为：GET、POST、HEAD
• 头部字段满足CORS安全规范，详见W3C。概括起来就是没有自定义请求头。
• 请求头的Content-Type为：text/plain、multipart/form-data、application/x-www-form-urlencoded

其他情况都是非简单请求。

简单请求和预检请求发送请求时的区别

非简单请求发起CORS跨域时，会先发送一次预检请求，也就是 options 请求，预检通过后再发送真实请求，跟简单请求一致。

简单请求：

预检请求：

 

优化预检请求：Access-Control-Max-Age

可见一旦达到触发条件，跨域请求便会一直发送2次请求，这样增加的请求数是否可优化呢？答案是可以，OPTIONS预检请求的结果可以被缓存。

Access-Control-Max-Age这个响应首部表示 preflight request （预检请求）的返回结果（即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息） 可以被缓存的最长时间，单位是秒。 

如果值为 -1，则表示禁用缓存，每一次请求都需要提供预检请求，即用OPTIONS请求进行检测。