注：仅用于测试的临时解决方案

对于那些无法控制“选项405方法不允许”的后端的人，这里有一个解决方案，用于“颜色”浏览器。

在命令行中执行：

“C:\Program Files（x86）\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“path_to_file”

例子：

“C:\Program Files（x86）\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“C:\Users\vital\AppData\Local\Google\Cherme\user data\Profile 2”

跨源资源共享-CORS（A.K.A.跨域AJAX请求）是大多数web开发人员可能遇到的问题，根据同源策略，浏览器在安全沙盒中限制客户端JavaScript，通常JS无法直接与来自不同域的远程服务器通信。过去，开发人员创建了许多复杂的方法来实现跨域资源请求，最常用的方法是：

使用Flash/SSilverlight或服务器端作为“代理”进行通信使用遥控器。带填充的JSON（JSONP）。在iframe中嵌入远程服务器，并通过fragment或window.name进行通信，请参阅此处。

这些棘手的方法或多或少都有一些问题，例如，如果开发人员简单地“评估”JSONP，JSONP可能会导致安全漏洞，而上面的第3条，虽然它有效，但两个域之间应该建立严格的契约，它既不灵活也不优雅IMHO：）

W3C引入了跨源资源共享（CORS）作为标准解决方案，以提供一种安全、灵活和推荐的标准方式来解决这个问题。

机制

从高层次上讲，我们可以简单地将CORS视为来自域a的客户端AJAX调用与域B上托管的页面之间的契约，典型的跨源请求/响应将是：

DomainA AJAX请求标头

Host DomainB.com
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0
Accept text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,application/json
Accept-Language en-us;
Accept-Encoding gzip, deflate
Keep-Alive 115
Origin http://DomainA.com 

DomainB响应标头

Cache-Control private
Content-Type application/json; charset=utf-8
Access-Control-Allow-Origin DomainA.com
Content-Length 87
Proxy-Connection Keep-Alive
Connection Keep-Alive

上面我标记的蓝色部分是核心事实，“Origin”请求头“表示跨源请求或飞行前请求的来源”，“Access Control Allow Origin”响应头表示此页面允许来自DomainA的远程请求（如果值为*，则表示允许来自任何域的远程请求）。

如上所述，W3建议浏览器在提交实际的跨源HTTP请求之前实现一个“预飞行请求”，简而言之，这是一个HTTP OPTIONS请求：

OPTIONS DomainB.com/foo.aspx HTTP/1.1

如果foo.aspx支持OPTIONS HTTP动词，它可能会返回如下响应：

HTTP/1.1 200 OK
Date: Wed, 01 Mar 2011 15:38:19 GMT
Access-Control-Allow-Origin: http://DomainA.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, HEAD
Access-Control-Allow-Headers: X-Requested-With
Access-Control-Max-Age: 1728000
Connection: Keep-Alive
Content-Type: application/json

只有当响应包含“Access Control Allow Origin”且其值为“*”或包含提交CORS请求的域时，通过满足此强制条件，浏览器才会提交实际的跨域请求，并将结果缓存在“Preflight result cache”中。

三年前，我在博客中写到了CORS：AJAX跨源HTTP请求

根据Mozilla开发者网络的这篇文章，

当资源从不同于第一个资源本身服务的域或端口请求资源时，它会发出跨源HTTP请求。

来自的HTML页面http://domain-a.com对发出＜img＞src请求http://domain-b.com/image.jpg.今天，网络上的许多页面从不同的域加载CSS样式表、图像和脚本等资源（因此应该很酷）。

同源政策

出于安全原因，浏览器限制从脚本中发起的跨源HTTP请求。例如，XMLHttpRequest和Fetch遵循相同的源策略。因此，使用XMLHttpRequest或Fetch的web应用程序只能向自己的域发出HTTP请求。

跨源资源共享（CORS）

为了改进web应用程序，开发人员要求浏览器供应商允许跨域请求。

跨源资源共享（CORS）机制为web服务器提供跨域访问控制，从而实现安全的跨域数据传输。现代浏览器在API容器（如XMLHttpRequest或fetch）中使用CORS来降低跨源HTTP请求的风险。

CORS的工作原理（Access Control Allow Origin标头）

维基百科：

CORS标准描述了新的HTTP头，它为浏览器和服务器提供了一种只有在他们有权限时才请求远程URL的方式。

虽然服务器可以执行一些验证和授权，但浏览器通常有责任支持这些标头并遵守它们施加的限制。

实例

浏览器发送OPTIONS请求和Origin HTTP头。

此标头的值是为父页提供服务的域。当页面来自http://www.example.com尝试访问service.example.com中的用户数据时，将向service.example.com:

Origin: http://www.example.com

service.example.com上的服务器可能会响应：

其响应中的访问控制允许源站（ACAO）标头指示允许哪些源站。例如：访问控制允许来源：http://www.example.com如果服务器不允许跨源请求，则显示错误页面带有通配符的访问控制允许来源（ACAO）标头，允许所有域：访问控制允许来源：*

注：仅用于测试的临时解决方案

对于那些无法控制“选项405方法不允许”的后端的人，这里有一个解决方案，用于“颜色”浏览器。

在命令行中执行：

“C:\Program Files（x86）\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“path_to_file”

例子：

“C:\Program Files（x86）\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“C:\Users\vital\AppData\Local\Google\Cherme\user data\Profile 2”

对于跨源共享，请设置标题：“Access Control Allow origin”：“*”；

Php:header（“访问控制-允许原始”：“*”）；

节点：app.use（'Access-Control-Allow-Origin'：'*'）；

这将允许共享不同域的内容。

根据我自己的经验，很难找到一个简单的解释，为什么CORS甚至是一个问题。

一旦你明白了为什么会出现，标题和讨论就会变得更加清晰。我会在几行字里尝试一下。

都是关于饼干的。Cookie按其域存储在客户端上。

一个例子：在你的电脑上，有一个你的bank.com的cookie。也许你的会话就在那里。

要点：当客户端向服务器发出请求时，它将发送存储在该请求的域下的cookie。

您已在浏览器上登录到yourbank.com。您请求查看您的所有帐户，并为yourbank.com发送cookie。yourbank.com收到一堆cookie，并发回其响应（您的帐户）。

如果另一个客户机向服务器发出跨源请求，则会像以前一样发送这些cookie。如罗。

你浏览到malicious.com。malicious向不同的银行发出一系列请求，包括yourbank.com。

由于cookie按预期进行了验证，服务器将授权响应。

这些饼干被收集起来并一起发送——现在，malious.com收到了您银行的回复。

诶呀

现在，一些问题和答案变得显而易见：

“我们为什么不阻止浏览器这样做？”是的。这是CORS。“我们怎么解决？”让服务器告诉请求CORS正常。