## 特殊请求 不符合简单请求的条件，会被浏览器判定为特殊请求,，例如请求方式为PUT。 > 预检请求 特殊请求会在正式通信之前，增加一次HTTP查询请求，称为"预检"请求（preflight）。 浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的`XMLHttpRequest`请求，否则就报错。 一个“预检”请求的样板： ``` OPTIONS /cors HTTP/1.1 //预检请求方式是OPTIONS Origin: http://manage.leyou.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.leyou.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0... ``` 与简单请求相比，除了Origin以外，多了两个头： * Access-Control-Request-Method：接下来会用到的请求方式，比如PUT * Access-Control-Request-Headers：会额外用到的头信息 > 预检请求的响应 服务的收到预检请求，如果许可跨域，会发出响应： ``` HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://manage.leyou.com Access-Control-Allow-Credentials: true //允许访问cookie Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Max-Age: 1728000 Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain ``` 除了`Access-Control-Allow-Origin`和`Access-Control-Allow-Credentials`以外，这里又额外多出3个头： * Access-Control-Allow-Methods：允许访问的方式 * Access-Control-Allow-Headers：允许携带的头 * Access-Control-Max-Age：本次许可的有效时长，单位是秒，**过期之前的ajax请求就无需再次进行预检了** 如果浏览器得到上述响应，则认定为可以跨域，后续就跟简单请求的处理是一样的了。