揭秘CORS跨域机制：打破浏览器的藩篱，实现跨域资源共享

当一个请求的URL协议、域名、端口任意一项与被请求的资源所在的URL不同时，即发生了跨域，浏览器出于安全考虑，限制了对跨域请求的访问，这种限制策略被称作同源策略（Same-origin policy），它规定了某个源（协议、域名、端口）下的脚本只允许访问相同源下的资源。

跨域资源共享（CORS）是一种机制，它允许浏览器绕过同源策略的限制，实现跨域访问。CORS 是一种浏览器端的解决方案，它不需要服务器端的支持。

CORS 是如何工作的？
CORS 的工作原理如下：

1. 当浏览器遇到跨域请求时，它会向服务器发送一个预检请求（OPTIONS 请求）。
2. 服务器收到预检请求后，会返回一个响应头，其中包含允许跨域访问的 HTTP 头部（如 Access-Control-Allow-Origin）和凭证（如 Cookie）信息。
3. 浏览器收到预检请求的响应后，会检查响应头中的 HTTP 头部和凭证信息，如果这些信息允许跨域访问，那么浏览器就会发送真正的请求。
4. 服务器收到真正的请求后，会返回一个正常的响应，浏览器会解析响应并将其显示给用户。

CORS 中的 HTTP 头部
CORS 中的 HTTP 头部有以下几种：

• Access-Control-Allow-Origin：指定允许跨域访问的源。
• Access-Control-Allow-Credentials：指定是否允许跨域请求携带凭证（如 Cookie）。
• Access-Control-Allow-Methods：指定允许跨域请求使用的 HTTP 方法。
• Access-Control-Allow-Headers：指定允许跨域请求携带的 HTTP 头部。
• Access-Control-Max-Age：指定预检请求的有效期。

CORS 中的凭证
CORS 中的凭证是指与用户身份相关的 HTTP 头部，如 Cookie 和 Authorization。默认情况下，跨域请求是不允许携带凭证的。如果要允许跨域请求携带凭证，需要在服务器端设置 Access-Control-Allow-Credentials 为 true。

CORS 的局限性
CORS 虽然可以解决跨域问题，但它也有一些局限性：

• CORS 只能解决简单跨域请求（简单请求是指不携带凭证的 GET、HEAD、POST 请求）。
• CORS 无法解决复杂的跨域请求（复杂的请求是指携带凭证的 PUT、DELETE、PATCH 请求）。
• CORS 无法解决跨域 WebSocket 请求。

解决 CORS 的其他方法
除了 CORS 之外，还有一些其他的方法可以解决跨域问题，如：

• JSONP：JSONP 是一种利用