同源策略：

什么是同源：只有在兩個(gè)頁(yè)面的協(xié)議（http：//或者h(yuǎn)ttps：//）、域名（www.baidu.com）、端口號(hào)（80端口，默認(rèn)是80）都相同的情況下，這兩個(gè)頁(yè)面才是同源的。

同源策略限制的能力：非同源的兩個(gè)頁(yè)面，不能互相訪問(wèn)對(duì)方設(shè)置的本機(jī)存儲(chǔ)數(shù)據(jù)、不能互相操作對(duì)方的DOM、ajax不能互相發(fā)送請(qǐng)求。

什么是跨域：在一臺(tái)服務(wù)器的頁(yè)面中，請(qǐng)求另一臺(tái)服務(wù)器的數(shù)據(jù)。這種行為就是跨域（兩個(gè)非同源服務(wù)器互相請(qǐng)求數(shù)據(jù)）。

AJAX規(guī)避同源策略（JSONP）：

jsonp的本質(zhì)：

1、利用標(biāo)簽的src屬性可以加載任意服務(wù)器的接口內(nèi)容的特性，把要請(qǐng)求的跨域服務(wù)器接口設(shè)置在該src屬性中，并憑借一個(gè)回調(diào)函數(shù)作為參數(shù)；

2、在服務(wù)器端收到請(qǐng)求后，取出傳進(jìn)來(lái)的函數(shù)名，拼接成函數(shù)執(zhí)行的形式，把前端需要的數(shù)據(jù)設(shè)置在函數(shù)參數(shù)中，一塊返還給前端；

3、前端在收到了服務(wù)器返回的函數(shù)執(zhí)行碼時(shí)，開(kāi)始觸發(fā)回調(diào)函數(shù)，在回調(diào)函數(shù)中就可以獲取到想要的數(shù)據(jù)了；

代碼如下：

// 1、創(chuàng)建script標(biāo)簽

var scriptTag = document.createElement('script');

// 2、設(shè)置標(biāo)簽類(lèi)型

scriptTag.type = 'text/javascript';

// 3、設(shè)置請(qǐng)求的接口

scriptTag.src = 'http://10.0.153.197:8888/news?callback=getData';

// 4、拼接標(biāo)簽進(jìn)文檔流

window.onload = function() {

document.head.appendChild(scriptTag);

}

// 設(shè)置回調(diào)函數(shù)

function getData (data) {

console.log(data);

}

JSONP的客戶端具體實(shí)現(xiàn)：

1、我們知道，哪怕跨域js文件中的代碼（當(dāng)然指符合web腳本安全策略的），web頁(yè)面也是可以無(wú)條件執(zhí)行的。

遠(yuǎn)程服務(wù)器remoteserver.com根目錄下有個(gè)remote.js文件代碼如下：

alert('我是遠(yuǎn)程文件');

本地服務(wù)器localserver.com下有個(gè)jsonp.html頁(yè)面代碼如下：

<script type="text/javascript" src="http://remoteserver.com/remote.js">

毫無(wú)疑問(wèn)，頁(yè)面將會(huì)彈出一個(gè)提示窗體，顯示跨域調(diào)用成功。

2、現(xiàn)在我們?cè)趈sonp.html頁(yè)面定義一個(gè)函數(shù)，然后在遠(yuǎn)程remote.js中傳入數(shù)據(jù)進(jìn)行調(diào)用。

remote.js文件代碼如下：

localHandler({"result":"我是遠(yuǎn)程js帶來(lái)的數(shù)據(jù)"});

jsonp.html頁(yè)面代碼如下：

varlocalHandler=function(data){

alert('我是本地函數(shù)，可以被跨域的remote.js文件調(diào)用，遠(yuǎn)程js帶來(lái)的數(shù)據(jù)是：'+data.result);

};

<script type="text/javascript" src="http://remoteserver.com/remote.js">

運(yùn)行之后查看結(jié)果，頁(yè)面成功彈出提示窗口，顯示本地函數(shù)被跨域的遠(yuǎn)程js調(diào)用成功，并且還接收到了遠(yuǎn)程js帶來(lái)的數(shù)據(jù)。但是又一個(gè)問(wèn)題出現(xiàn)了，我怎么讓遠(yuǎn)程js知道它應(yīng)該調(diào)用的本地函數(shù)叫什么名字呢？畢竟是jsonp的服務(wù)者都要面對(duì)很多服務(wù)對(duì)象，而這些服務(wù)對(duì)象各自的本地函數(shù)都不相同啊？我們接著往下看。

3、其實(shí)只要服務(wù)端提供的js腳本是動(dòng)態(tài)生成的就行了，這樣調(diào)用者可以傳一個(gè)參數(shù)過(guò)去告訴服務(wù)端“我想要一段調(diào)用XXX函數(shù)的js代碼，請(qǐng)你返回給我”，于是服務(wù)器就可以按照客戶端的需求來(lái)生成js腳本并響應(yīng)了。

看jsonp.html頁(yè)面的代碼：

//得到航班信息查詢結(jié)果后的回調(diào)函數(shù)varflightHandler=function(data){

alert('你查詢的航班結(jié)果是：票價(jià)'+data.price+'元，'+'余票'+data.tickets+'張。');

};

//提供jsonp服務(wù)的url地址（不管是什么類(lèi)型的地址，最終生成的返回值都是一段javascript代碼）

var url="http://flightQuery.com/jsonp/flightResult.aspx？code=CA1998&callback=flightHandler";

//創(chuàng)建script標(biāo)簽，設(shè)置其屬性

var script=document.createElement('script');

script.setAttribute('src', url);

//把script標(biāo)簽加入head，此時(shí)調(diào)用開(kāi)始

document.getElementsByTagName('head')[0].appendChild(script);

這次的代碼變化比較大，不再直接把遠(yuǎn)程js文件寫(xiě)死，而是編碼實(shí)現(xiàn)動(dòng)態(tài)查詢，而這也正是jsonp客戶端實(shí)現(xiàn)的核心部分，本例中的重點(diǎn)也就在于如何完成jsonp調(diào)用的全過(guò)程。

我們看到調(diào)用的url中傳遞了一個(gè)code參數(shù)，告訴服務(wù)器我要查的是CA1998次航班的信息，而callback參數(shù)則告訴服務(wù)器，我的本地回調(diào)函數(shù)叫做flightHandler，所以請(qǐng)把查詢結(jié)果傳入這個(gè)函數(shù)中進(jìn)行調(diào)用。

OK，服務(wù)器很聰明，這個(gè)叫做flightResult.aspx的頁(yè)面生成了一段這樣的代碼提供給jsonp.html（服務(wù)端的實(shí)現(xiàn)這里就不演示了，與你選用的語(yǔ)言無(wú)關(guān)，說(shuō)到底就是拼接字符串）：

flightHandler({

"code": "CA1998",

"price": 1780,

"tickets": 5

});

我們看到，傳遞給flightHandler函數(shù)的是一個(gè)json，它描述了航班的基本信息。運(yùn)行一下頁(yè)面，成功彈出提示窗口，jsonp的執(zhí)行全過(guò)程順利完成！