首先来看一个问题，跨域为什么会产生

为什么会遇到跨域请求？

首先要明确一点，跨域请求实际上是浏览器进行拦截的（浏览器的安全策略拦截），如果使用linux的curl命令去请求接口，是不会遇到跨域的。
所以跨域实际出现一般都是前后端分离场景。

什么是跨域请求？简言之，就是做饭时，你家的米不够了，到邻家去借用（请求其他域的资源），但是浏览器觉得你这样做不安全，在不做任何处理的情况下，这个跨域请求是无法被成功请求的，因为浏览器基于同源策略，会对跨域请求做一定的限制。

什么是同源策略？

首先大家要知道同源策略发生的场景：浏览器，如果不是浏览器发起请求，就不会受到同源策略的影响。这也是为什么上面说，linux的curl命令去请求不会产生跨域的原因。同源就是在js中请求是不带域名，直接使用相对地址，如/article/show/2021，这种情况浏览器默认使用当前域名，如果指明了详细的非当前域名的URL地址，就被判定为非同源，也就是跨域，具体分三种情况，如下。

跨域的3种情况：

1、协议不同，http 协议去请求 https 协议；
2、端口不同，80端口去请求8081端口；
3、域名（ip）不同，www.abc.com 和 www.def.com；

跨域如何解决？

一般常用有3种：前端nginx反向代理、后端设置cros允许跨域，以及大名鼎鼎的：jsonp；

NGINX反向代理

可以再NGINX中设置proxy-pass，反向代理到其他域，这里不做展开叙述；

后端设置cros允许跨域

什么是CROS？
CORS （Cross-Origin Resource Sharing，跨域资源共享）是一个W3C标准，它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前的主流浏览器都支持该功能，整个通信过程，都是浏览器自动完成，不需要用户参与。
对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。
因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

两大类请求：简单请求和非简单请求

参考：http://www.ruanyifeng.com/blog/2016/04/cors.html；
浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。
只要同时满足以下两大条件，就属于简单请求：

1. 请求方法是以下三种方法之一：
   HEAD GET POST
   2）HTTP的头信息不超出以下几种字段：
   Accept
   Accept-Language
   Content-Language
   Last-Event-ID
   Content-Type：只限于三个值：application/x-www-form-urlencoded、multipart/form-data、text/plain

对于简单请求，浏览器直接发出CORS请求。具体来说，就是在头信息之中，增加一个Origin字段。

GET /cors HTTP/1.1
Origin: http://api.aaa.com
Host: api.ccc.com

如果Origin指定的域名在许可范围内，服务器返回的响应，会多出几个头信息字段:

Access-Control-Allow-Origin: http://api.aaa.com
Access-Control-Allow-Credentials: true
……
Content-Type: text/html; charset=utf-8

如果Origin指定的源，不在许可范围内，服务器会返回一个正常的HTTP回应。浏览器发现，这个回应的头信息没有包含Access-Control-Allow-Origin字段（详见下文），就知道出错了，从而抛出一个错误，被XMLHttpRequest的onerror回调函数捕获。但是，这种错误无法通过状态码识别，因为HTTP回应的状态码有可能是200。

CORS-非简单请求

非简单请求是那种对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type的类型是application/json；

非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为preflight，即"预检"请求（可算说到重点了）。

浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

预检请求的请求头：

OPTIONS /cors HTTP/1.1
Origin: http://api.aaa.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.ccc.com
Connection: keep-alive
User-Agent: Mozilla/5.0...

"预检"请求用的请求方法是OPTIONS，表示这个请求是用来询问的。头信息里面，关键字段是Origin，表示请求来自哪个源。
除了Origin字段，"预检"请求的头信息包括两个特殊字段。
（1）Access-Control-Request-Method
该字段是必须的，用来列出浏览器的CORS请求会用到哪些HTTP方法，上例是PUT。
（2）Access-Control-Request-Headers
该字段是一个逗号分隔的字符串，指定浏览器CORS请求会额外发送的头信息字段，上例是X-Custom-Header。

服务器收到"预检"请求以后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，确认允许跨源请求，就可以做出回应（响应体做了简化）：

HTTP/1.1 200 OK
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.ccc.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/plain
……

如果服务器否定了"预检"请求，会返回一个正常的HTTP回应：

XMLHttpRequest cannot load http://api.aaa.com.
Origin http://api.ccc.com is not allowed by Access-Control-Allow-Origin.

与JSONP的比较

CORS与JSONP的使用目的相同，但是比JSONP更强大。
JSONP只支持GET请求，CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。
不过，预检请求，可能会导致请求变慢，毕竟每次进行接口请求时候，浏览器都要先发出一个options请求，才能发起正式请求。

村长闲唠嗑

如果有细心的小伙伴肯定发现了，本文其实只介绍了预检请求，嗅探请求、options请求好像压根儿没提呀。

其实村长没有忽悠大家，因为已经全部讲完了，所谓，嗅探请求、options请求，不过是 预检请求 的别名而已；
小伙伴们记住了哈，免得被人给忽悠住。
就跟 B-树、B树 一样，这俩都是指B树，如果您读 B减树，就显得外行了。