一、跨域and同源政策

1.跨域，指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。
2.同源政策

• 协议相同
• 域名相同
• 端口相同
  如：
  如，http://www.example.com/dir/page.html这个网址，协议是http://，域名是www.example.com，端口是80（默认端口可以省略）。它的同源情况如下。

    http://www.example.com/dir2/other.html：同源
    http://example.com/dir/other.html：不同源（域名不同）
    http://v2.www.example.com/dir/other.html：不同源（域名不同）
    http://www.example.com:81/dir/other.html：不同源（端口不同）
    https://www.example.com/dir/page.html：不同源（协议不同）

如果非同源，共有三种行为受到限制。
（1） Cookie、LocalStorage 和 IndexedDB 无法读取。
（2） DOM 无法获得。
（3） AJAX 请求无效（可以发送，但浏览器会拒绝接受响应）。

二、如何解决跨域问题

1.cookie

举例来说，A网页是http://w1.example.com/a.html，B网页是http://w2.example.com/b.html，那么只要设置相同的document.domain，两个网页就可以共享Cookie。

document.domain = 'example.com';

这种方法只适用于 Cookie 和 iframe窗口，LocalStorage 和 IndexedDB 无法通过这种方法，规避同源政策，而要使用PostMessage API。

2. frame

如果两个窗口一级域名相同，只是二级域名不同，那么设置document.domain属性，就可以规避同源政策，拿到DOM。

对于完全不同源的网站，目前有两种方法，可以解决跨域窗口的通信问题。

• 片段识别符（fragment identifier）
  URL的#号后面的部分，比如http://example.com/x.html#fragment的#fragment。如果只是改变片段标识符，页面不会重新刷新。
  父窗口可以把信息，写入子窗口的片段标识符。
  子窗口通过监听hashchange事件得到通知。
  子窗口也可以改变父窗口的片段标识符。
• 跨文档通信API（Cross-document messaging）
  window.postMessage
  父窗口aaa.com向子窗口bbb.com发消息，调用postMessage。

var popup = window.open('http://bbb.com', 'title');
popup.postMessage('Hello World!', 'http://bbb.com');

postMessage方法的第一个参数是具体的信息内容，第二个参数是接收消息的窗口的源（origin），即“协议 + 域名 + 端口”。也可以设为*，表示不限制域名，向所有窗口发送。

子窗口向父窗口发送消息的写法类似。

window.opener.postMessage('Nice to see you', 'http://aaa.com');

• message事件的事件对象event，提供以下三个属性。
  event.source：发送消息的窗口
  event.origin: 消息发向的网址
  event.data: 消息内容

window.addEventListener('message', receiveMessage);
function receiveMessage(event) {
  event.source.postMessage('Nice to see you!', '*');
}

3.LocalStorage

通过window.postMessage，读写其他窗口的 LocalStorage 也成为了可能。

3.AJAX

同源政策规定，AJAX请求只能发给同源的网址，否则就报错。
除了架设服务器代理（浏览器请求同源服务器，再由后者请求外部服务），有三种方法规避这个限制。

• JSONP
• WebSocket
• CORS
  （1）JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用，老式浏览器全部支持，服务器改造非常小。

它的基本思想是，网页通过添加一个<script>元素，向服务器请求JSON数据，这种做法不受同源政策限制；服务器收到请求后，将数据放在一个指定名字的回调函数里传回来。

//网页动态插入<script>元素，由它向跨源网址发出请求。
function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}
//向服务器example.com发出请求
window.onload = function () {
  addScriptTag('http://example.com/ip?callback=foo');
//该请求的查询字符串有一个callback参数，用来指定回调函数的名字，这对于JSONP是必需的。
}

function foo(data) {
  console.log('Your public IP address is: ' + data.ip);
};

//服务器收到这个请求以后，会将数据放在回调函数的参数位置返回。
foo({
  "ip": "8.8.8.8"
});

（2）WebSocket是一种通信协议，使用ws://（非加密）和wss://（加密）作为协议前缀。该协议不实行同源政策，只要服务器支持，就可以通过它进行跨源通信。

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com

有一个字段是Origin，表示该请求的请求源（origin），即发自哪个域名。
正是因为有了Origin这个字段，所以WebSocket才没有实行同源政策。因为服务器可以根据这个字段，判断是否许可本次通信。
（3）CORS

• 跨源资源分享（Cross-Origin Resource Sharing）。相比JSONP只能发GET请求，CORS允许任何类型的请求。

• 允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。。

• CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

• 整个CORS通信过程，都是浏览器自动完成

• 两种请求
  简单请求（simple request）

请求方法
HEAD
GET
POST

//HTTP头信息
 Accept
Accept-Language
Content-Language
 Last-Event-ID
Content-Type：只限于三个值application/x-www-form-urlencoded、
multipart/form-data、text/plain

非简单请求（not-so-simple request）

请求方法
PUT
DELETE

或者Content-Type字段的类型是application/json。

• CORS与JSONP的使用目的相同，但是比JSONP更强大。
  JSONP只支持GET请求，CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。