在Ajax2.0中多了CORS允许我们跨域，但是其中有着几种的限制：Origin、Methods、Headers、Credentials

1.Origin

当浏览器用Ajax跨域请求的时候，会带上一个请求头“Origin: 协议://页面域名”,而服务器需要返回一个响应头“Access-Control-Allow-Origin: 协议://对应域名“，如果Origin和Access-Control-Allow-Origin不同，浏览器就会报错，服务器返回的信息也会被浏览器禁止使用

2.Methods

默认允许跨域的方法只有三种：GET、POST和HEAD

很多时候我们会用到一些Resful接口，method会涉及到PUT、DELETE等等，这个时候CORS要求服务器增加响应头”Access-Control-Allow-Methods: PUT,DELETE“

3.Headers

CORS默认有些请求头是不允许的例如自定义请求头 和 content-type

如果我们遇到一些情况需要增加一些自定义的请求头，CORS要求服务器增加响应头”Access-Control-Allow-Headers: 自定义请求头,content-type“

4.credentials

CORS默认是不允许跨域发送COOKIES

如果我们想跨域发送COOKIES，我们需要在前端页面设置xhr.withCredentials=true，服务器增加响应头”Access-Control-Allow-Credentials: true“

在最新版Chrome，复杂的 CORS 不会发出 OPTIONS "预检"请求，而 Firefox 等其他面对复杂CORS的时候还是会发 OPTIONS，上面 4 中 Access-Control-Allow-xxx Chrome 都兼容 星号(*)，但是 Firefox 只允许 Origin 写 星号(*)。

本文内容仅供个人学习、研究或参考使用，不构成任何形式的决策建议、专业指导或法律依据。未经授权，禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载，请保留原文来源信息，不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持！

链接: https://fly63.com/article/detial/4946