CORS是一种允许当前域（domain）的资源（比如html/js/web service）被其他域（domain）的脚本请求访问的机制，通常由于同域安全策略（the same-origin security policy）浏览器会禁止这种跨域请求。

CORS也有一些限制，两种模型可以实现：

1.简单模型

支持get/post/put/delete请求，例如返回Access-Control-Allow-Origin:*,但是不允许自定义header且会忽略cookies，且post数据格式有限制，只支持‘text/plain','application/x-www-urlencoded'and'multipart/form-data'，其中’text/plain'默认支持，后面两种需要下面的预检请求和伺服器协商。

2.协商模型/预检请求（Preflighted Request）

举例：浏览器发出PUT请求，OPTION请求返回Access-Control-Allow-Origin:*,Access-Control-Allow-Methods:’PUT’，伺服器同意所有域的PUT请求，浏览器收到并继续发出真正的PUT请求，伺服器回响并再次返回Access-Control-Allow-Origin:*,允许浏览器的脚本执行伺服器返回的数据。