关于http请求的一些明白：
CORS是一个w3c规范，全称为Cross-origin resoursce sharing(跨域资源共享)，它允许浏览器向不必源的服务器提议XMLHttpRequest请求，从而能够略过ajax同源战略的限定。

简朴请求：
只需满足请求要领是HEAD、GET、POST；HTTP头信息不超越以下字段Accept Accept-Language Content-Language Last-Event-ID Content-Type: application/x-www-form-urlencode multipart-data text/plain 就属于简朴请求。

关于简朴请求，基础就是在请求中自动在头信息中增添一个origin字段，比方Origin: http://localhost:8000,这示意赞同locahost：8000的请求。假如origin指定的源不在允许范围内，服务器会返回一个一般的HTTP回应，假如浏览器没有发明Resonse Headers相应头信息没有包含Access-Control-Allow-Origin就会抛出毛病，但这类毛病没法经由过程status code来辨认，由于返回的状况码多是200.

假如你运用的域名是origin允许的，Response Headers里会多出几个基础头信息字段：

Access-Control-Allow-Credential: true,
Access-Control-Allow-Headers:origin, content-type, accept, x-request-with,
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS,
Access-Control-Allow-Origin: http:localhost:8000

Access-Control-Allow-Credential： 示意是不是允许发送cookies。默许情况下，Cookies不包含在CORS请求中；设为true示意cookies能够包含在请求中一起发给服务器，假如不须要发送cookies给服务器，需删除字段。须要注重的是：除了设置Access-Control-Allow-Credential：true外，在ajax请求中也必需翻开withCredentials,要领以下：

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

不然就算服务器赞同发送或设置cookie，浏览器也不会发送或处置惩罚。假如不想发送cookie，最保险的要领就是：

xhr.withCredentials = false;

Access-Control-origin: 必填项，要么是origin指定的被允许的值，要么是*，示意接收恣意域名的请求。

非简朴请求：
非简朴请求是那种对服务器有特殊请求的请求，比方PUT DELETE，或许Content-Type：application/json等。非简朴请求会在正式通讯前增添一次HTTP查询请求，成为flight（预检）。浏览器先讯问服务器，当前请求域是不是在服务器允许名单中，以及能够运用哪些HTTP动词头信息字段，假如返回true浏览器会发出XMLHTTPRequest请求不然会报错。下面是一个例子：

var url = 'http://localhost:8000';
var xhr = new XMLHttpRequest();
xhr.open('DELETE', url, true);
xhr.setRequestHeader('x-request-with', 'value');
xhr.send();

这里，HTTP请求中，要领是DELETE，并发送了一个头信息为x-request-with，浏览器发明，这是一个非简朴请求，就会自动预检，请求服务器预检这个HTTP头信息。

预检请求用的要领是OPTIONS，示意这个请求是用来讯问的。头信息内里，症结字段是origin，示意来源于哪一个源。除了origin，预检还包含Method Headers，分别为：

Access-control-request-origin: *,
Access-Control-Request-Method: DELETE,
Access-Control-request-Headers: x-request-with,

浏览器收到flight预检今后搜检了origin Access-Control-Request-Method 和 Access-Control-Request-Headers字段后确认允许跨域请求，就能够作出回应。假如flight预检没有经由过程，也会返回一个一般的HTTP回应。但假如没有任何CORS相干的Response Headers,flight预检就不会经由过程，控制台会打印出症结信息：

...http://localhost:8000 is not allowed by Access-Allow-Origin

服务器回应的其他CORS相干字段以下。

Access-Control-Allow-credentials: true
Access-Control-Allow-Methods:GET, POST, DELETE,OPTIONS
Access-Control-Allow-Headers:origin, content-type, accept, x-request-with, Authorization
Access-Control-Allow-Max-Age:1728000

Access-Control-Allow-Methods 必要字段 示意服务器支撑的一切跨域请求要领，只需浏览器运用的请求要领包含在内即可经由过程。

Access-Control-Allow-Headers 必要字段 表明服务器支撑的一切头信息字段，也是为了防止屡次预检请求。

Access-Control-Allow-Max-Age 可选字段 单元是s,用来指定本次预检的有效期，即在给定时间内允许该条缓存回应，不会发出一条预检请求。

假如服务器经由过程了预检请求，今后浏览器一般的跨域请求就和简朴请求一样，会有一个origin有信息段，副兵器的回应也都邑有一个Access-Control-Allow-Origin 的头信息段，返回请求以下：

Access-Control-Allow-Origin:http:localhost:8000
Content-Type: text/html; charset=utf-8

个中origin信息是必然会涌现的。

Cors与JSONP的比较
CORS比JSONP更壮大，JSONP只支撑GET请求，CORS支撑一切范例的HTTP请求，但JSONP关于老浏览器支撑较好。