Access-Control-Allow-Origin 是一个 HTTP 头部字段用于指示哪些源站被允许访问资源。如果服务器没有正确配置 CORS 头信息，浏览器会执行 CORS 检查，并且可能会阻止请求。

以下是使用多个值对 Access-Control-Allow-Origin 字段的示例代码：

// 允许指定的源站点和外部资源请求访问 res.header('Access-Control-Allow-Origin', 'http://example.com, https://example.com');

// 对于与指定的模式匹配的源站点允许访问，表示匹配任何源站点 res.header('Access-Control-Allow-Origin', 'http://.example.com');

// 允许同一域名下的所有请求访问 res.header('Access-Control-Allow-Origin', 'same-origin');

// 允许任意外部资源请求访问 res.header('Access-Control-Allow-Origin', '*');

在以上示例中，Access-Control-Allow-Origin 可以设置为一组指定的源站点列表，在这些站点下的资源都可以访问。如果需要允许所有的请求访问，也可以使用 * 通配符。

同时，为了避免同源策略的限制，我们还可以使用 JSONP、代理、CORS 等方式来解决跨域请求的问题。