CORS跨域流程图

非简单请求

同时满足1和2

浏览器发现AJAX请求跨域

服务器

是

浏览器会在请求头中添加origin字段

浏览器发送预检请求

浏览器不会拦截第三方请求

ajax发送请求并配置withCredentials:true

浏览器拦截请求被XMLHttpRequest的onerror捕获

开始

服务返回的响应头中会新增Access-Control-Allow-Origin: http://api.bob.com(Access-Control-Allow-Credentials: true)?

服务器返回一个正常的HTTP响应头

简单请求

（1) 请求方法是以下三种方法之一：HEADGETPOST（2）HTTP的头信息不超出以下几种字段：AcceptAccept-LanguageContent-LanguageLast-Event-IDContent-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

否

origin是否在服务器许可范围

origin源是否在服务器许可名单