跨域

前面我们初步做出了一个可以实现受保护的 REST API，但是我们没有涉及一个前端领域很重要的问题，那就是跨域请求（ cross-origin HTTP request ）。先来回顾一些背景知识：

跨域请求

定义：当我们从本身站点请求不同域名或端口的服务所提供的资源时，就会发起跨域请求。

例如最常见的我们很多的 css 样式文件是会链接到某个公共 CDN 服务器上，而不是在本身的服务器上，这其实就是典型的一个跨域请求。但浏览器由于安全原因限制了在脚本（ script ）中发起的跨域 HTTP 请求。也就是说 XMLHttpRequest 和 Fetch 等是遵循“同源规则”的，即只能访问自己服务器的指定端口的资源（同一服务器不同端口也会视为跨域）。但这种限制在今天，我们的应用需要访问多种外部 API 或 资源的时候就不能满足开发者的需求了，因此就产生了若干对于跨域的解决方案，JSONP 是其中一种，但在今天来看主流的更彻底的解决方案是 CORS （ Cross-Origin Resource Sharing ）。

跨域资源共享 （ CORS ）

这种机制将跨域的访问控制权交给服务器，这样可以保证安全的跨域数据传输。现代浏览器一般会将 CORS 的支持封装在 HTTP API 之中（ 比如 XMLHttpRequest 和 Fetch ），这样可以有效控制使用跨域请求的风险，因为你绕不过去，总得要使用 API 吧。

概括来说，这个机制是增加一系列的 HTTP 头来让服务器可以描述哪些源是允许使用浏览器来访问资源的。而且对于简单的请求和复杂请求，处理机制是不一样的。

简单请求仅允许三个 HTTP 方法：GET，POST 以及 HEAD，另外只能支持若干 header 参数：Accept ， Accept-Language ， Content-Language ， Content-Type （值只能是 application/x-/wpcfan/spring-boot-tut/tree/chap05