跨域資源共享（CORS）是一個 Web 應用程序的安全特性，它允許 Web 應用程序從不同的域訪問其他域資源。如果我們想要在我們的 Web 應用程序中獲取來自不同域的數據，CORS 是必不可少的。

為了在 HTML5 中設置 CORS，我們需要在我們的 Web 應用程序服務器上添加一些響應頭。這些響應頭指示瀏覽器允許從不同域發起請求。我們可以通過以下代碼在服務器端設置這些響應頭：

Access-Control-Allow-Origin: *           // 允許所有的資源跨域
Access-Control-Allow-Methods: "GET, POST, PUT, DELETE, PATCH, OPTIONS"  // 支持的http請求方法
Access-Control-Max-Age: "86400"           // 持續時間（以秒為單位），瀏覽器緩存響應
Access-Control-Allow-Headers: "Content-Type, Authorization"  // 允許的自定義請求頭

上述代碼中，Access-Control-Allow-Origin: *使得我們的 Web 應用程序從其他域請求任何資源。如果我們希望只允許來自某個特定域名的資源訪問，我們可以將 * 替換為該特定域名。

除了服務器端，我們還需要在客戶端代碼中發送正確的請求頭，以遵守 CORS 規則。我們可以設置 XHR 對象的 withCredentials 屬性為 true：

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;      // 設置為true遵守CORS策略
xhr.open("GET", "https://othersite.com/somefile.txt", true);
xhr.send();

當我們使用 XHR 對象發送跨域請求時，我們必須發送帶憑據的請求（即支持跨域 cookie 和授權頭）。如果我們希望使用帶憑據的請求，我們在客戶端的 XHR 請求中將 withCredentials 屬性設置為 true。