CORS（跨域资源共享）是一个系统，由传输 HTTP 标头组成，用于确定浏览器是否阻止前端 JavaScript 代码访问跨域请求的响应。

同源安全策略禁止跨域访问资源。 但是 CORS 使 Web 服务器能够表示他们希望选择允许跨域访问其资源。

Access-Control-Allow-Methods

指定在访问资源以响应预检请求时允许的一种或多种方法。上面的例子为 POST.

Access-Control-Allow-Headers

用于响应预检请求，以指示在发出实际请求时可以使用哪些 HTTP 标头。上面的例子为 content-type.

CORS 预检请求(preflight)是一个 CORS 请求，用于检查 CORS 协议是否被理解以及服务器是否使用特定的方法和标头知道。

这是一个 OPTIONS 请求，使用三个 HTTP 请求标头：Access-Control-Request-Method、Access-Control-Request-Headers 和 Origin 标头。

预检请求由浏览器自动发出，在正常情况下，前端开发人员不需要自己制作此类请求。 它出现在请求被限定为“预检”并且对于简单请求被省略时。

例如，在发送 DELETE 请求之前，客户端可能会通过使用预检请求询问服务器是否允许 DELETE 请求：

OPTIONS /resource/foo
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: origin, x-requested-with
Origin: https://foo.bar.org

如果服务器允许，那么它将使用 Access-Control-Allow-Methods 响应标头响应预检请求，其中列出了 DELETE：

HTTP/1.1 204 No Content
Connection: keep-alive
Access-Control-Allow-Origin: https://foo.bar.org
Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE
Access-Control-Max-Age: 86400

可以选择使用 Access-Control-Max-Age 标头为在同一 URL 中创建的请求缓存预检响应，如上例所示。 为了缓存预检响应，浏览器使用与浏览器管理的通用 HTTP 缓存不同的特定缓存。 预检响应永远不会缓存在浏览器的通用 HTTP 缓存中。

对于上图 Spartacus 系统的例子，服务器允许跨域访问：