什么是同源策略

• 瀏覽器出于安全方面的考慮，只允許與本域下的接口交互。不同源的客戶端腳本在沒有明確授權(quán)的情況下，不能讀寫對方的資源。

• 同源指的是 一樣的協(xié)議 ，一樣的域名，一樣的端口訪問，3者要是有一個是不一樣的，http請求就是跨域請求。

什么是跨域？跨域有幾種實現(xiàn)形式

因為瀏覽器的同源策略限制，不允許不同源下的對象互相操作。去訪問不同域的對象相互操作的就叫跨域。

1. JSONP：利用script的src標(biāo)簽的跨域?qū)傩裕瑐鬟f一個callback參數(shù)給服務(wù)端來獲取其他源的數(shù)據(jù)

2. CORS ： 在第三方服務(wù)器端增加代碼，返回頭部設(shè)置Access-Control-Allow-Origin設(shè)置成指定的訪問地址。

res.header("Access-Control-Allow-Origin", "http://a.jirengu.com:8080"); 
//res.header("Access-Control-Allow-Origin", "*"); 

3. 降域：瀏覽器想要操作iframe標(biāo)簽中引入的網(wǎng)站，但是URL和本頁面的URL不同，二級域名相同，以如下情況所示

http://a.xiexuan.com:8080/b.html
http://b.xiexuan.com:8080/a.html
document.domain = 'xiexuan.com' //便通過降域的方式使兩個網(wǎng)站可以實現(xiàn)跨域

4. postMessage : 對不同域下的URL發(fā)送數(shù)據(jù)，如果對方接受數(shù)據(jù)，就可以使用，如果對方?jīng)]有監(jiān)控該數(shù)據(jù)，就無用。使用window.postMessage(值,傳遞的地址) 方法進行跨域通信。

JSONP 的原理是什么

• 利用<script>標(biāo)簽沒有跨域限制的特性，比如引入線上的jquery庫（其他域下的js），來達到與第三方通訊的目的。

• 在本頁面中創(chuàng)建script標(biāo)簽，src的地址執(zhí)行后端接口，最后加個參數(shù)callback=接口函數(shù)名；（由此約定函數(shù)名）

<script src="http://www.weather.com.cn?city=hangzhou&callback=showWeather"></script>

• 接口函數(shù)的名字和對數(shù)據(jù)的操作需要自己聲明和定義

    <script>
        function showWeather(json){
        }
    </script>

CORS是什么

CORS 全稱是跨域資源共享（Cross-Origin Resource Sharing），是一種 ajax 跨域請求資源的方式

當(dāng)你使用 XMLHttpRequest 發(fā)送請求時，瀏覽器發(fā)現(xiàn)該請求不符合同源策略，會給該請求加一個請求頭：Origin，后臺進行一系列處理，如果服務(wù)器端確定接受請求，則在返回結(jié)果中加入一個響應(yīng)頭：Access-Control-Allow-Origin。瀏覽器判斷該相應(yīng)頭中是否包含 Origin 的值，如果有則瀏覽器會處理響應(yīng)，我們就可以拿到響應(yīng)數(shù)據(jù)，如果不包含瀏覽器直接駁回，這時我們無法拿到響應(yīng)數(shù)據(jù)。所以 CORS 的表象是讓你覺得它與同源的 ajax 請求沒啥區(qū)別，代碼完全一樣.

在服務(wù)器增加代碼

res.header("Access-Control-Allow-Origin", "http://a.xiexuan.com:8080"); 
//res.header("Access-Control-Allow-Origin", "*"); // *表示服務(wù)器允許所有的跨域請求。

Examples

• jsonp實現(xiàn)

• cors實現(xiàn)

• 降域?qū)崿F(xiàn)

• postMessage實現(xiàn)