跨域请求（Cross-Origin Resource Sharing, CORS）是一种机制，它允许网页上的脚本能够向另一个与其原始来源不同的域请求资源。这种机制是由浏览器的同源策略（Same-Origin Policy）所约束的，该策略默认情况下禁止网页请求非同源的服务器资源，以保护用户免受恶意网站的攻击。

同源策略

同源策略是Web安全的基石之一，它限制了一个源中加载的文档或脚本如何与另一个源的资源进行交互。这有助于防止恶意网站读取另一个网站上的敏感数据。两个URL的协议、域名和端口号都必须相同，才被认为是同源的。

跨域请求的工作原理

当你尝试从一个源的网页上通过JavaScript发起对另一个源（域名、协议或端口号不同）的资源请求时，浏览器会自动应用同源策略，阻止这种跨域请求。为了使这些请求成功，目标资源的服务器必须通过发送适当的CORS头部来明确允许请求来源的域访问该资源。

例如，如果一个来自https://example.com的网页试图请求https://api.example.org/data的资源，那么api.example.org服务器必须在响应中包含一个Access-Control-Allow-Origin头部，指定https://example.com（或*代表任意域）可以访问该资源。

CORS请求类型

• 简单请求（Simple Requests）：使用GET、HEAD或POST方法（POST请求的Content-Type只能是application/x-www-form-urlencoded、multipart/form-data或text/plain）的请求。这些请求不会先发送预检请求。
• 预检请求（Preflight Requests）：对于那些可能对服务器数据产生副作用的HTTP请求方法（如PUT、DELETE或含有除简单请求之外的头部的POST请求），浏览器会先发送一个OPTIONS请求，询问目标资源是否愿意接受来自源应用程序的请求。

解决跨域问题

• CORS响应头：服务器可以通过设置CORS响应头（如Access-Control-Allow-Origin）允许特定的外部域访问其资源。
• JSONP（已过时）：通过动态添加<script>标签的方式绕过同源策略限制，仅限于GET请求。
• 代理服务器：通过在同源策略限制下的服务器上设置代理服务器转发请求到目标服务器，从而绕过浏览器的同源策略限制。

跨域请求机制是现代Web开发中非常重要的一部分，特别是在构建单页面应用（SPA）和使用各种Web API时。正确理解和应用CORS可以帮助开发者安全地实现跨域资源共享。