为什么有跨域的问题

之所以会有跨域问题，是因为AJAX只能使用同源资源限制导致的，所以浏览器在向不同的域名进行AJAX请求时，需要按照CORS标准来进行跨域，才能获取到不同源的资源。

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。

进行CORS跨域需要浏览器和服务器同时配合来完成：对与目前的浏览器来说，都支持跨域请求，当浏览器发现需要进行跨域请求资源时候，会自动对HTTP请求做处理，来向异源服务器申请资源；所以只需要服务器添加CORS接口，即可支持跨域资源请求。

对于简单的HTTP请求和非简单的HTTP请求，跨域的过程是不一样的。

简单HTTP请求和非简单HTTP请求区分

只要同时满足下列两个条件，即可认为是简单请求：

1. 请求方法是HEAD、GET、POST三种之一
2. HTTP的header头信息最多只有下列几种：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：为application/x-www-form-urlencoded、multipart/form-data、text/plain三种之一

不能同时满足这两个条件的，也就是非简单HTTP请求。

简单HTTP请求跨域过程

浏览器在处理简单请求时，会在头信息中添加Origin字段，来标识跨域请求的来源（协议 + 域名 + 端口），然后直接发送CORS请求，服务器根据这个值，决定是否同意这次请求。

GET /cors HTTP/1.1
Origin: http://abc.com
Host: api.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

当Origin携带的源在服务器允许跨域的列表之中时，服务器需要显式的在返回的响应的头信息中添加Access-Control-Allow-Origin字段，来允许此来源的跨域请求，该字段的值可以是Origin携带的请求来源，也可以是一个＊；除此之外，还可以添加其余的可选跨域头字段，Access-Control-开头的都是与CORS相关的字段。

Access-Control-Allow-Origin: http://abc.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

如果该来源不在跨域列表中时，服务器会正常返回一个HTTP响应，但是不携带跨域头信息，这个响应会被浏览器拦截并抛出错误。

非简单HTTP请求跨域过程

对于非简单请求，浏览器主要为了快速失败而做了一次预检请求。

非简单请求例如我们常用到的Content-Type: application/json; charset=utf-8的POST请求，浏览器在发送CORS请求之前，会发送一个预检请求，来询问服务器该来源是否包含在允许跨域列表中：

OPTIONS /cors HTTP/1.1
Origin: http://abc.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

该预检请求的请求方法为OPTIONS，同样携带请求头Origin来标识来源；
除了Origin字段，"预检"请求的头信息包括两个特殊字段。

1. Access-Control-Request-Method

该字段是必须的，用来列出浏览器的CORS请求会用到哪些HTTP方法，上例是PUT。

2. Access-Control-Request-Headers

该字段是一个逗号分隔的字符串，指定浏览器CORS请求会额外发送的头信息字段，上例是X-Custom-Header。

服务器在收到上述预检请求之后，如果允许该跨域请求，则会发送一个成功响应，其中包含Access-Control-Allow-Origin头字段。此处的浏览器判断和简单请求一致。

除此之外，服务器还可能包括Access-Control-Max-Age头信息，该字段可选，用来指定本次预检请求的有效期，单位为秒。上面结果中，有效期是20天（1728000秒），即允许缓存该条回应1728000秒（即20天），在此期间，不用发出另一条预检请求。

一旦通过了预检，浏览器后续流程也跟简单请求一样，在发送CORS时候也会携带Origin字段。

JSOUP跨域

CORS协议的跨域与JSOUP相比，更为强大，提供更多的参数来控制跨域的流程，而且CORS支持所有类型的HTTP请求，但是JSOUP只支持PUT请求。

JSOUP的优势在于支持更老的浏览器和不支持CORS协议的服务器来做跨域资源请求。