Access-Control-Allow- Origin是一个CORS（跨域资源共享）标头。

当站点 A 尝试从站点 B 获取内容时，站点 B 可以发送一个Access-Control-Allow- Origin响应标头来告诉浏览器该页面的内容可以从某些来源访问。（ 源
是一个域，加上一个方案和端口号。）默认情况下，任何其他源都无法访问站点 B 的页面；使用Access-Control-Allow-Origin标头为特定请求来源的跨域访问打开了一扇门。

对于站点 B 希望站点 A 可以访问的每个资源/页面，站点 B 应为其页面提供响应标头：

Access-Control-Allow-Origin: http://siteA.com

现代浏览器不会直接阻止跨域请求。如果站点 A 从站点 B 请求页面，浏览器实际上将 在网络级别 获取请求的页面，并检查响应标头是否将站点 A
列为允许的请求者域。如果站点 B 没有表明允许站点 A 访问该页面，浏览器将触发XMLHttpRequest‘error事件并拒绝对请求
JavaScript 代码的响应数据。

非简单请求

网络级别发生的事情可能 比
上面解释的要复杂一些。如果请求是“非简单”请求，浏览器首先发送一个无数据的“预检”OPTIONS
请求，以验证服务器是否会接受该请求。当任一（或两者）时，请求是非简单的：

• 使用 GET 或 POST 以外的 HTTP 动词（例如 PUT、DELETE）
• 使用非简单的请求头；唯一简单的请求标头是：
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type（仅当它的值为 、 或 时才application/x-www-form-urlencoded很multipart/form-data简单text/plain）

如果服务器使用与非简单动词和/或非简单标头匹配的适当响应标头（Access-Control-Allow- Headers对于非简单标头，对于非简单动词）响应 OPTIONS 预检，则浏览器发送实际请求。Access-Control-Allow- Methods

假设站点 A 想要发送一个 PUT 请求/somePage，其非简单Content- Type值为application/json，浏览器将首先发送一个预检请求：

OPTIONS /somePage HTTP/1.1
Origin: http://siteA.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Content-Type

注意Access-Control-Request-Method和Access-Control-Request- Headers是由浏览器自动添加的；您不需要添加它们。此 OPTIONS 预检获取成功的响应标头：

Access-Control-Allow-Origin: http://siteA.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type

发送实际请求时（预检完成后），其行为与处理简单请求的方式相同。换句话说，预检成功的非简单请求被视为与简单请求相同（即，服务器仍必须Access- Control-Allow-Origin再次发送实际响应）。

浏览器发送实际请求：

PUT /somePage HTTP/1.1
Origin: http://siteA.com
Content-Type: application/json

{ "myRequestContent": "JSON is so great" }

并且服务器发回一个Access-Control-Allow-Origin，就像它对一个简单的请求一样：

Access-Control-Allow-Origin: http://siteA.com