CORS为什么要区分简单请求和非简单请求

为什么存在跨域

首先要知道，不管是简单请求还是复杂请求，服务端每次都是要对跨域和资源进行判断的（客户端的顺滑只是服务端的伪装罢了~）。跨域只是浏览器的一种保护机制，是为了保护站点的安全，其实跨域本身是不存在的，为了安全浏览器针对XMLHTTPRequest和fetch这种脚本发起的跨域请求做了一定的跨域限制，而对于浏览器自身的如img的src、script的js资源、form表单的提交，没有做跨域的限制。

• 简单请求：这是因为img的src、script的js只能发起get请求，而表单虽然能进行post提交，但一方面表单的提交是显式的，用户可以感知，另一方面，表单提交只能发起请求，而不能获取请求的响应，这样一来，请求可以发起，而服务端可以进行拒绝，浏览器认为这是安全的。
• 复杂请求：通过脚本发起的跨域请求，可以对响应内容做处理，这是用户不可感知的，浏览器认为这是不安全的，所以对于复杂请求，进行跨域的限制，而CORS机制就是浏览器对跨域进行处理。对于复杂请求会发起一个预检请求，判断服务端是否可以接受这个跨域请求，接受后就可以向服务端发起真正的请求。

为什么要区分简单和非简单请求

1、因为浏览器认为简单请求是安全的，所以可以通过跨域限制到达服务器，也就没必要对简单请求做预检请求（人家本来就可以通过跨域你预检个什么）
2、当然简单请求也进行预检，不过没必要，因为预检请求是干嘛的呢你要知道。

为什么要发起预检请求

浏览器进行跨域限制主要是通过两种方式

• 限制跨域请求的发出
• 请求可以发出，但是响应结果会被拦截
  而浏览器免不了要进行跨域，访问资源哪有不跨域的，不跨域你只能看自己域里面的东西，所以浏览器一般是采用第二个拦截方式，而这种拦截方式，可能已经对服务端进行了数据的操作，为了防止这种情况，首先发起预检请求，来检测是否能够发起真正的请求。（这里能知道，简单请求是没必要进行预检的，因为浏览器认为，简单请求是安全的，是被用户允许的）
  预检请求预检的是url 所以即使是同源的 每个复杂请求都会进行预检 主要是对比url和方法

cors请求过程

首先如果是简单请求则在请求头直接添加orgin字段，对于非简单请求需要一次预检请求options，需要origin字段，当服务端通过预检请求会在响应头携带Allow-controll-Access-Origin字段(为*或者是origin的值)，之后的请求就像简单请求一样，携带origin字段。
请求头响应头过程：https://www.jianshu.com/p/b6520a7fb386