RequestがSimple Requestである場合のCORS
SのresponseにAccess-Control-Allow-Originを追加すれば良い
httpHTTP/1.1 200 OK
Access-Control-Allow-Origin: http://X.com「このresourceは、cross originのサイトX.comから触っても良いですよ」という許可を出す
認証情報が含まれる場合
CookieやHTTP認証を有効にする場合は、withCredentialsなどの設定も必要
『Webブラウザセキュリティ』 p.38
responseが以下である必要がある
Access-Control-Allow-Originが
* ではなく、明示されている