跨域请求CORS

浏览器默认是不允许XMLHttpRequest（ajax）发送请求到其他网站（跨域）的，
比如a网站的javascript想要从b网站获取数据时就会被浏览器拦截。这也是为了安全考虑，如果不做限制的话，
a网站的js 请求b网站时默认会把b网站的cookie带上，a网站就可以以b网站的登录信息（b网站的cookie)去攻击b网站。

但是实际应用中，有时候确实需要跨域请求的，跨源资源共享 (CORS)就是用来解决实现这种功能的。
CORS是http协议的一部分，需要浏览器和web服务器共同支持，目前绝大多数的浏览器和服务器都已支持。

CORS把请求分成两类，简单请求和非简单请求

简单请求：

同时满足下面两个条件就是简单请求

（1) 请求方法是以下三种方法之一：
HEAD
GET
POST
（2）HTTP的头信息不超出以下几种字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

简单请求过程如上图，步骤为：
1.浏览器发现ajax的请求时跨域的，会在请求头里面添加一个origin字段，值为当前域地址(不包含路径)。

2.服务器拿到请求后会正常处理请求，然后再检查请求的头，发现origin，就知道这是跨域的请求，会检查origin的域名是否在服务器的许可列表里，如国在就在响应头添加一个Access-Control-Allow-Origin字段，值就是origin的值。如果不在就不设置Access-Control-Allow-Origin这个头。然后返回相应

3.浏览器收到响应，知道这是个跨域的响应，检查响应头里是否有Access-Control-Allow-Origin，如果没有就立即报错并停止执行ajax的代码，如果有，并且值为自己的域名，或者为通配符*，就正常处理。

注意在这种简单请求里，浏览器会正常发送请求的，服务器也会正常处理请求，唯一可能被拦截的就是最后浏览器收到响应后是否会处理，如果没有Access-Control-Allow-Origin这个头信息，就会停止处理。所以这个过程请求响应一定还是会被处理的。

非简单请求

如果请求不符合简单请求的条件，就是非简单请求。这种请求一般会修改服务器上的资源，所以处理上比较严格。

非简单请求过程如上图，步骤为：

1. 浏览器发现ajax的请求是跨域的，并且是非简单请求，为了服务器的安全，不会像简单请求一样直接发送请求，而是会先发送一个OPTIONS的请求给服务器，询问服务器网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错，这个请求里也会有origin头信息。

2.服务器收到"预检"请求以后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，确认允许跨源请求，就可以做出回应

3.浏览器收到服务器的“预检请求”响应后，检查头信息里的Access-Control-Allow-Origin字段，如果为当前的域名或者为通配符*, 则知道这个跨域请求可以进行，就会正常发送用户的请求，否则为不可进行，拦截用户的请求

从上面的过程可以看到，无论是简单还是非简单请求，CORS的过程都需要服务端和浏览器共同配合，
请求只要通过了浏览器的验证，服务器总是会正常处理。所以如果我们使用代码怕虫来发送请求，就不会有跨域请求的问题，总能成功。

另外注意到，简单请求服务器总是会处理，拦截只发生在浏览器处理服务器响应过程中，在chrome的network里还是可以看到服务器返回的正常数据，并且响应码200正常。这就警示我们，不要在简单类型的请求里更新重要数据，否则跨站cookie攻击漏洞就会发生。