1.客户端从http://siteA-原产地。

进行下载的代码-您的html脚本标记或来自javascript的xhr或其他任何东西-来自，比方说，http://siteZ.而且，当浏览器请求MyCode.js时，它会发送一个Origin:头，上面写着“Origin:http://siteZ“，因为它可以看到您正在请求siteA和siteZ！=siteA。（您不能停止或干扰此操作。）

2.MyCode.js的响应头包含Access Control Allow Origin：http://siteB，我认为这意味着允许MyCode.js对站点B进行跨源引用。

不。这意味着，只有站点B才允许执行此请求。因此，您从siteZ请求MyCode.js时会出现错误，浏览器通常不会提供任何信息。但是如果你让你的服务器返回A-C-A-O:siteZ，你会得到MyCode.js。或者如果它发送'*'，这会起作用，这会让所有人都进来。或者如果服务器总是从Origin:header发送字符串。。。但是为了安全起见，如果你害怕黑客，你的服务器应该只允许短名单上的来源，允许他们提出这些请求。

然后，MyCode.js来自siteA。当它向站点B发出请求时，它们都是跨源的，浏览器发送origin:siteA，站点B必须接收站点A，识别它在允许的请求者的短列表中，然后发送A-C-A-O:siteA。只有这样，浏览器才会让脚本获得这些请求的结果。

Access Control Allow Origin响应标头指示响应可以与来自给定源的请求代码共享。标头类型响应标头-------------------------------------------禁止的标题名称编号告诉浏览器允许任何来源的代码访问资源将包括以下内容：访问控制允许来源：*

有关详细信息，请访问访问控制允许来源。。。

如果您只想测试浏览器阻止您请求的跨域应用程序，那么您可以在不安全模式下打开浏览器并测试应用程序，而不更改代码，也不使代码不安全。

在macOS中，您可以从终端行执行此操作：

open -a Google\ Chrome --args --disable-web-security --user-data-dir

大多数CORS问题是因为您试图通过客户端ajax从前端基本库react、angular、jquery应用程序请求。

您必须从后端应用程序请求。

您正在尝试从前端API请求，但您尝试使用的API期望此请求来自后端应用程序，并且它永远不会接受客户端请求。

每当我开始思考CORS时，我对哪个站点托管标头的直觉是错误的，正如您在问题中所描述的那样。对我来说，思考同源政策的目的是有帮助的。

同源策略的目的是保护您免受siteA.com上的恶意JavaScript访问您选择仅与siteB.com共享的私人信息。如果没有同源策略，siteA.com作者编写的JavaScript可能会让您的浏览器使用您的siteB.com身份验证cookie向siteB.com发出请求。这样，siteA.com可能会窃取您与siteB.com共享的秘密信息。

有时您需要跨域工作，这就是CORS的作用所在。CORS放宽了siteB.com的同源策略，使用Access Control Allow origin标头列出其他受信任运行可与siteB.com交互的JavaScript的域（siteA.com）。

要了解哪个域应该为CORS标头提供服务，请考虑这一点。您访问malious.com，其中包含一些试图向mybank.com发出跨域请求的JavaScript。应该由mybank.com而不是malious.com来决定它是否设置CORS标头，以放宽同源策略，从而允许maliouss.com中的JavaScript与之交互。如果malious.com可以设置自己的CORS标头，允许自己的JavaScript访问mybank.com，这将完全取消同源策略。

我认为我直觉不好的原因是我在开发网站时的观点。这是我的网站，有我所有的JavaScript。因此，它没有做任何恶意的事情，应该由我来指定我的JavaScript可以与哪些其他站点交互。事实上，我应该思考：哪些其他网站的JavaScript正在尝试与我的网站交互，我应该使用CORS来允许它们？

如果您正在使用PHP，请尝试在PHP文件的开头添加以下代码：

如果您使用的是localhost，请尝试以下操作：

header("Access-Control-Allow-Origin: *");

如果您正在使用外部域（如服务器），请尝试以下操作：

header("Access-Control-Allow-Origin: http://www.website.com");