Cookie的同源政策与跨越资源共享CORS

Cookie具有不可跨域名性

Cookie依然遵循同源政策，只有用服务器域名设置的Cookie才会上传，其他域名的Cookie并不会上传。Google与Baidu的域名不一样，因此域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。

domain属性决定运行访问Cookie的域名，而path属性决定允许访问Cookie的路径

Cookie cookie = new Cookie("time","20080808"); // 新建Cookie
cookie.setDomain(".helloweenvsfei.com"); // 设置域名  domain参数必须以点(".")开始
cookie.setPath("/"); // 设置路径

①②③④⑤⑥⑦

① domain表示的是cookie所在的域，默认为请求的地址，如网址为www.test.com/test/test.aspx，那么domain默认为www.test.com。
而跨域访问，如域A为t1.test.com，域B为t2.test.com，那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain
设置为.test.com；如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。

② path表示cookie所在的目录，默认为/，就是根目录。在同一个服务器上有目录如下：/test/,/test/cd/,/test/dd/，现设一个cookie1的
path为/test/，cookie2的path为/test/cd/，那么test下的所有页面都可以访问到cookie1，而/test/和/test/dd/的子页面不能访问cookie2。
这是因为cookie能让其path路径下的页面访问。

③ 浏览器会将domain和path都相同的cookie保存在一个文件里，cookie间用*隔开。

跨源资源共享（CORS）

1.同源政策:是浏览器对JS施加的安全限制,指协议.域名.端口都要相同,其中一个不同都会产生跨域.
跨源HTTP请求的一个例子：运行在 http://domain-a.com 的JavaScript代码使用XMLHttpRequest来发起一个到 https://domain-b.com/data.json 的请求。

2.跨源资源共享（CORS）

简单请求

（1) 请求方法是以下三种方法之一：
	HEAD
	GET
	POST
（2）HTTP的头信息不超出以下几种字段：
	Accept
	Accept-Language
	Content-Language
	Last-Event-ID
	Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件为非简单请求(可能对服务器数据产生副作用的 HTTP 请求方法)要求必须首先使用 OPTIONS方法发起一个预检请求到服务器，以获知服务器是否允许该实际请求。

2.1允许CORS的场景
由 XMLHttpRequest 或 Fetch 发起的跨源 HTTP 请求
Web 字体 (CSS 中通过 @font-face 使用跨源字体资源)

2.2 处理
link

Access-Control-Allow-Origin: * 
Access-Control-Allow-Methods: GET, POST, PUT   
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true   #Cookie默认不包括在CORS请求之中，设置为true可以包含cookie

PS：如果要发送Cookie，Access-Control-Allow-Origin就不能设为星号，必须指定明确的、与请求网页一致的域名

参考link
补充：
1.域名：各部分之间用英文的句号“.”来分隔，最后一个“.”的右边部分称为顶级域名(TLD，也称为一级域名)，最后一个“.”的左边部分称为二级域名(SLD)，二级域名的左边部分称为三级域名，以此类推，每一级的域名控制它下一级域名的分配。