1.浏览器的跨域会根据服务端返回过来的respone headers信息如Access-Control-Allow-Origin等信息决定返回的结果是否可以交由回调函数。注意只是决定是否交由回调函数,请求依然发出。
2.服务端根据请求返回给客户端respone headers。注意如果服务端只在返回headers上加属性,真实请求的数据依然会返回给浏览器,浏览器是否交由回调函数只有headers决定。==>所以服务端如果不让跨域应该,应该不处理业务逻辑,直接就返回,以保证数据安全。