只有 浏览器 才有跨域限制，因为浏览器有同源策略。而其他任何能发请求的客户端都没有跨域限制，比如CURL,postman等。

跨域时，浏览器请求默认不会自动携带cookie

什么时候算跨域？

协议，主机，端口，这三者组成了域Origin（也可以叫做元组），只要三者中有一处不同就是不同源，违反浏览器同源策略，造成跨域
例如：http://www.example.com:8080

参考链接：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

跨源资源共享（CORS）可以突破浏览器的同源策略限制，这需要服务器配合设置相应响应头

预检请求（preflight），是只有跨域时，才可能会出现，没跨域时根本没有。
预检请求顾名思义，浏览器预先去服务器询问一下，能不能请求服务器上的该资源。
该请求使用OPTIONS请求方式。

浏览器主要发送这些内容：

Origin: http://foo.example
（告诉服务器我来自哪个域）
Access-Control-Request-Method: POST
（告诉服务器我将要使用的请求方式）
Access-Control-Request-Headers: X-PINGOTHER, Content-Type
（告诉服务器我将要发送的特殊请求头字段）

而服务器主要需要配合设置这些内容：

Access-Control-Allow-Origin: http://foo.example
（允许这个域的请求访问我的资源，如果为*代表允许任何域的请求访问我的资源）
Access-Control-Allow-Methods: POST, GET, OPTIONS
（允许这些种类的请求方式访问我的资源）
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
（允许请求头中可以包含这些特殊字段）
Access-Control-Max-Age: 86400
（设置预检请求的缓存时间，即针对同一个跨域的复杂请求，不必每次都先发送一次预检请求,该属性不是必须）