浏览器
对一个简单的请求，没有自定义头部，要么使用GET，要么使用POST，它的Content-type为text/plain,请求会发送一个名叫Orgin的额外的头部。
服务器
如果服务器确定请求被通过，它将发送一个Access-Control-Allow-Origin头部响应发送请求的同一个源，如果是一个公共资源，则返回“*”。

· 注意，请求和响应都不包括cookie信息。
· FF3.5 +，Safari 4和chrome通过使用XMLHttpRequest对象支持其使用。在IE8中也是一样，用同样的方式你需要使用XDomainRequest对象。

Browser
除了GET或POST，通过一种称之为preflighted请求的服务器透明验证机制，CORS允许使用自定义的头部和方法，以及不同主体内容类型。当你尝试使用高级选项中的一个来试着建立一个请求时，这时就建立了一个preflighted请求。该请求使用可选的方法，并发送如下头部：Origin/Access-Control-Request-Method/Access-Control-Request-Headers
Server
在请求期间，服务器能决定是否允许这类请求。服务器通过在响应中发送以下头部来与浏览器通信。Access-Control-Allow-Origin/Access-Control-Allow-Methods/Access-Control-Allow-Headers/Access-Control-Max-Age
preflighted 请求一旦作出，结果将按响应中规定的时间缓存下来；第一次做出这样的请求，你将引发一次额外的HTTP请求。
· Firefox 3.5+,Safari 4+和Chrome都支持preflighted请求，IE8则不支持。

Browser
默认状态下，跨域请求不提供证书（cookie、HTTP身份验证、客户端SSL证书）。你可以规定一个请求应该通过设置withCredentials属性为true来发送证书。如果服务器允许credentialed请求，那么它将用下面的头部作出响应：Access-Control-Allow-Credentials: true
Server
如果一个credentialed请求被发送，而这个头部没在响应头中相应的返回，浏览器不会将响应传递给JavaScript(responseText是一个空字符串，状态为0，onerror()被调用)。

· IE8不支持withCredentials属性，Firefox 3.5+,Safari 4+和Chrome都支持它。

Http协议相关

一、AJAX