概念：只要协议、域名、端口有任何一个不同，都被当作是不同的域。

• 所有具有 src 属性的HTML标签都可以跨域

原理：所有具有src属性的HTML标签都是可以跨域的，包括img标签和script标签

类似image标签和iframe标签,像image标签在更改src属性时会发送请求,可以达到统计的效果.而script, iframe,只有在添加到DOM树之后才会发送HTTP请求      

    var img = new Image();      
    img.src = 'http://some/picture'; // 发送HTTP请求
    var ifr = $('<iframe>', {src: 'http://b.a.com/bar'});
    $('body').append(ifr); // 发送HTTP请求

    
**限制：需要创建一个DOM对象，只能用于GET方法**

**场景：适用于做统计需求时,有后台做开发资源的情况**。

• 使用window.name来进行跨域

window.name在不同的页面（甚至不同域名）加载后依旧存在（如果没修改则值不会变化），并且可以支持非常长的 name 值（2MB）

首先插入iframe 其src属性指向服务器文件地址（利用iframe标签的跨域能力)，服务器文件里设置好window.name的值（也就是该iframe的contentWindow的name值），然后在index.html里读取该iframe的window.name值。服务端可以输出类似这样的js

``

window.name = "{"name":"hanzichi", "age":10}";
``

这样可以达到跨域获取资源的目的。

**限制：不支持其他页面不能配合修改的情况**

**场景：适用于指服务器文件可以配合开发的情况**

• document.domain+iframe的设置来跨子域

适用于主域相同，子域不同情况。
例如在a.xxx.com/a.html 和 b.xxx.com/b.html中，都设置document.domain = 'xxx.com';

`document.domain = 'xxx.com'`

再在a.html中插入iframe，src为b.html的链接
此时可以在iframe的onload方法里调用b.html的dom，
达到跨域的效果

**限制：安全性不足，当a.html被攻击后,b.html也可能受影响**

**场景：适用于跨子域的情况，并且两个页面都需要修改，好处是没有后台开发资源**

• jsonp(动态插入script)

  浏览器默认禁止了跨域访问，但并不禁止在页面中引用其他域的JS文件.

  JSONP，允许用户传递一个callback参数给服务端，然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据，这样客户端就可以随意定制自己的函数来自动处理返回数据。

  相当于本地函数被跨域的远程js调用，callback大概如下，里面相当于传回的data

  callback({message:"success"})

  限制：

  • 需要创建一个DOM对象并且添加到DOM树，只能用于GET方法

  • 有被攻击的可能,类似于 csrf(cross site request forgery) ,可以通过加token验证的方式来规避风险.

**场景：适用于有后台开发资源，对方页面不可以修改的情况，需要前后端都规定好写法，   不受浏览器兼容性的影响**

*注意： ajax和jsonp其实本质上是不同的东西。ajax的核心是通过XmlHttpRequest获取非本页内容，而jsonp的核心则是动态添加script标签来调用服务器提供的js脚本。*

• HTML5 postMessage

postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信，可以实现跨文本档、多窗口、跨域消息传递。

在一个页面里调用``postMessage(data,origin)``

data指传送的数据，origin指目标窗口的源，在另一个页面里监听window的message事件

window.addEventListener('message',function(){...})

限制：注意IE8及小于IE8的版本不支持addEventListener，浏览器需要支持HTML5，受浏览器影响

**场景：适用于两个页面都可以修改，好处是不需要后台开发资源**

• 跨域资源共享（CORS）

  原理：服务器设置Access-Control-Allow-OriginHTTP响应头之后，浏览器将会允许跨域请求。

  支持其他的HTTP方法如PUT, POST等，可以从本质上解决跨域问题。

  请求资源时需服务器设置资源的Access-Control-Allow-OriginHTTP响应头

        Access-Control-Allow-Origin: *              # 允许所有域名访问，或者
        Access-Control-Allow-Origin: http://a.com   # 只允许a域名访问  
  

  限制：浏览器需要支持HTML5

  场景：使用于服务器资源可以配合修改响应头的情况

现在主要使用jsonp，但是跨域的正道还是要推荐HTML5提供的CORS头字段以及window.postMessage， 可以支持POST, PUT等HTTP方法，从机制上解决跨域问题。