一文读懂跨域问题。 自己实测，我看的别人文章有人说这样，有人说那样，我就自己好好测试了一下。

如何在本机测试跨域：
这里以tomcat服务器为例。 其实很简单，就是服务器启动后的本机域名是localhost，但是只要在地址栏输入127.0.0.1来访问tomcat，这时候就已经构成跨域了。

这时候请求头中会包含Origin字段，表示Host与Origin 不一致 这就已经是跨域了。
Host
localhost:8080
Origin
http://127.0.0.1:8080

HTTP跨域访问控制的机制叫CORS (Cross-Origin Resource Sharing）该机制允许Web应用服务器进行跨域访问控制，从而使跨域数据传输得以安全进行。跨域资源共享标准新增了一组 HTTP 首部字段，允许服务器声明哪些源站有权限访问哪些资源。

首先在某种条件下 跨域请求资源是被允许，而不是服务端说了算，也不是说所有的跨域一开始都是被禁止的。

直接就能跨域的请求成功的，叫做简单请求，简单请求必须同时满足三个条件：

1. 使用 GET HEAD POST三种方法之一。
2. 没有人为设置该集合之外的其他首部字段。该集合为
   Accept
   Accept-Language
   Content-Language
   Content-Type （需要注意额外的限制）
   DPR
   Downlink
   Save-Data
   Viewport-Width
   Width
   3 Content-Type 必须是三者之一
   application/x-www-form-urlencoded
   multipart/form-data
   text/plain

如果满足以上条件的话，跨域是可以正常访问。但这是不能携带cookie的。

能否携带cookie进行跨域的设置：
只需要客户端设置 xhr.withCredentials = true; 服务端不用任何配置。如果进入预检请求的话就是另一回事了，下面说。
那么以上就能够正常跨域访问了。

但是问题来，正常的前后端通信的消息格式并不是表单，而是json。
这时候前端需要设置
xhr.setRequestHeader("Content-type", "application/json");

这就 违背了 前面所说的 必须同时满足三个条件。

这时候 就要进入预检请求，预检请求 “需预检的请求”要求必须首先使用 OPTIONS 以获知服务器是否允许该实际请求。"预检请求“的使用，可以避免跨域请求对服务器的用户数据产生未预期的影响。

预检请求的过程是自动进行的。就是先进行一次OPTIONS 请求。如果允许了，之后才会进行实际请求。

CORS的各种访问控制字段 ，在预检请求的时候 才会检查 比如"Access-Control-Allow-Origin" 等等Access-Control-Allow开头的字段。
主要会检查以下字段：
response.setHeader("Access-Control-Allow-Origin", "http://127.0.0.1:8080");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, PUT");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with, Content-Type");
response.setHeader("Access-Control-Allow-Credentials", "true");

如果这时候Access-Control-Allow-Origin没有配置的话，客户端就真的会被禁止了。当然这里也不能配置为* ，这样也会被浏览器禁止，并提示凭据不支持，如果 CORS 头 ‘Access-Control-Allow-Origin’ 为 ‘*’。

如果客户端请求时带有自定义的字段，那么这里也必须把该字段添加到Access-Control-Allow-Headers里面。

如果客户端想要带cookie进行跨域，这里也必须设置Access-Control-Allow-Credentials为true。

所以说，只要进入了预检请求， 是否支持跨域就是服务器来决定了，就必须配置各种各样的Access-Control-Allow字段。 而简单请求下，这些字段是否配置是没有半点关系的。

一般来说 预检请求是很容易触发的。比如刚才所说的更改Content-Type为json， 人为设置了安全字段集合之外的其他首部字段，比如有时候在复制粘贴别人代码的时候多粘贴了一条不必要的请求头xhr.setRequestHeader("xxx-version", "5.3.0"); 这就悲剧了， 这样的话你的服务端必须也要配置允许这个xxx-version字段才可以。

（作者的csdn博客地址，http://blog.csdn.net/dreamytian）
（转载请注明 出处https://www.jianshu.com/p/ccd6fea996ef）