CROS跨域请求设置，偏重前端 CROS跨域请求设置，偏重前端

跨域请求两种结果

一种 request 会收不到 response，因为 response 被浏览器拦截了，内容不告诉你
另一种请求会根本发不出去，因为浏览器不允许发出那样的 request

simple 请求跨域
条件

【CROS跨域请求设置，偏重前端】请求方法是以下3种方法
- HEAD
- POST
- GET
HTTP的头信息不超出以下几种字段
- 只能有浏览器默认添加的 headers，以及一些 CORS 协议中默许的 headers 比如 Accept 等，更多被允许的 headers，可以看这里
- Accept
- Accept-Language
- Content-Language
- Lase-Event-ID
- Content-Type: 只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
注：
一旦一个 request 是 simple request，那么，尽管这个请求是跨域的，它也会被浏览器直接放行。但是，在 response 返回的时候，浏览器并不会把 response 直接交给你，而是去检查这个 response 的 headers 中有没有 Access-Control-Allow-Origin，以及这个 header 的 value 包含 request 发出的地址（也就是“域”）。如果两个条件都满足， response 会被返回给发出请求的程序；如果没有这个 header 或者 value 不对， response 就会被拦截下来，因为在浏览器看来，这个 response 不属于你（因为服务器没有明确允许你这个“域”来请求它）。如果你使用的是 chrome 浏览器，在 response 被拦截下来的时候，console 中会显示一个错误。

preflight 请求跨域

不是 GET，HEAD，POST 请求；比如是 PUT 请求
包含一些非 CORS 协议默许的 headers，比如Authorization，X-Request-With 或者一些自定义的headers。
Content-Type 不是默许的那 3 种
注释：
浏览器发送 preflight request（那个 OPTIONS 请求[2]）
浏览器收到 preflight response（也就是刚刚那个 request 的返回）
浏览器根据 preflight response 中的 Access-Control-Allow-Origin, Access-Control-Allow-Headers以及其他Access-Control-*类的headers 中的 value 来判断网页程序真正要发出的 request 是否符合要求
如果这个 request 符合要求，request 被发出，网页程序可以收到正常的 response（如果不出网络通讯上的意外）；如果这个 request 被判定为不符合要求，这个 request 干脆就不会被发出。
以上这些步骤都是同步的，preflight request 和真正的request 是有先后顺序的
跨域时带身信息（Access-Control-Allow-Credentials）
服务器允许客户端表明身份
1. 将Access-Control-Allow-Credentials设置为true
三种默认的表明身份的方式是：
1. Cookie: 在 request 的 header 中 Cookie 这一项
2. Authorization: 在 request 的 header 中 Authorization 这一项
3. 使用了 TLS 证书

让客户端浏览器自动带上身份信息在进行跨域请求时，浏览器默认不会带上 cookie（这个 cookie 是针对目标域的 cookie，而不是原来“域”的 cookie），但是如果在构建 xhr 对象时，把XMLHttpRequest.withCredentials这个属性设为 true，浏览器会自动帮你带上目标域的cookie
参考文档 https://www.jianshu.com/p/d21...
https://developer.mozilla.org...
https://blog.csdn.net/Daijian...