跨域请求是什么

跨域请求（Cross-Origin Request），简称CORS，是指在Web开发中，当一个Web页面向不同源（域名、协议或端口）的服务器发起请求时，浏览器会遵循同源策略（Same-Origin Policy）的限制，对这些跨源请求进行限制。

同源策略是一种安全策略，它限制了来自不同源的脚本在浏览器中运行。一个源指的是由协议、主机名和端口号组成的URL。同源策略要求脚本只能访问和执行来自同一源的资源和数据，不能访问其他源的资源和数据，这样可以防止跨站点请求伪造（Cross-Site Request Forgery, CSRF）等安全问题。

当一个Web页面中的JavaScript代码通过Ajax等方式向不同源的服务器发送HTTP请求时，浏览器会拒绝该请求，因为它违反了同源策略。这时，如果服务器端允许该跨域请求，就需要使用CORS来进行跨域请求的控制。

CORS是一种通过HTTP头部来与浏览器进行沟通的机制，它允许服务器在响应中包含一个特殊的HTTP头部，来告诉浏览器该服务器允许跨域请求。在浏览器收到带有CORS头部的响应后，如果该请求符合服务器设置的规则，浏览器将允许跨域请求，否则仍会拒绝。

常见的CORS头部包括：

Access-Control-Allow-Origin：指定哪些源（域名）可以访问服务器的资源。可以设置为*，表示允许所有源访问，或者指定具体的源。

Access-Control-Allow-Methods：指定支持的HTTP请求方法，比如GET、POST、PUT等。

Access-Control-Allow-Headers：指定允许请求中携带的自定义头部信息。

Access-Control-Allow-Credentials：指定是否允许请求携带凭证信息（比如cookies）。

通过使用CORS，服务器可以控制哪些跨域请求是被允许的，从而实现跨域资源共享，使Web应用能够安全地进行跨域数据交互。