同源策略

浏览器的同源策略限制从一个源加载的文档或脚本如何域来自另一个源的资源进行交互。同源策略是浏览器的安全功能，不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。只有同一个源的脚本赋予dom、读写cookie、session、Ajax等操作的权限。URL由协议、域名、端口、路径组成。简单来说就是两个URL的协议、域名、端口相同，则就是同源的；特殊情况、IE没有对端口做同源策略的限制、只验证了协议和域名。

例如该地址 https://www.google.com 和以下地址对比

地址同源原因
http://www.google.com 否协议不一致
https://google.com 否域名不一致
https://www.google.com:81 否端口号不一致
https://www.google.com/a/s.html 是协议，域名和端口号都一致

同源策略的限制

存储在浏览器中的数据，如localStroage、Cooke和IndexedDB、cookie等不能通过脚本跨域访
不能通过脚本操作不同域下的DOM
不能通过ajax请求不同域的数据

可能的跨域资源嵌入实例

<script src=""></script>标签嵌入跨域脚本。语法错误信息只能在同源脚本中捕捉到。
<link rel="stylesheet" href=""/>标签嵌入css。由于css的松散的语法规则，css的跨域需要一个正确的content-type消息头。不用的浏览器有不同的限制。
<img>嵌入图片
<video>和<audio>嵌入多媒体资源
<object>，<embed>和<applet>的插件
@font-face引入的字体。一些浏览器允许跨域字体(cross-origin fonts),一些需要同源字体
<frame>和<iframe>载入的任何资源。站点可以使用x-Frame-Options消息头来阻止这种形式的跨域交互

跨域问题

jsonp跨域

JSONP（JSON with Padding）是数据格式JSON的一种“使用模式”，可以让网页从别的网域要数据。根据 XmlHttpRequest 对象受到同源策略的影响，而利用 <script>元素的这个开放策略，网页可以得到从其他来源动态产生的JSON数据，而这种使用模式就是所谓的 JSONP。用JSONP抓到的数据并不是JSON，而是任意的JavaScript，用 JavaScript解释器运行而不是用JSON解析器解析。所有，通过Chrome查看所有JSONP发送的Get请求都是js类型，而非XHR。
 
JSONP包含两部分：回调函数和数据。
回调函数是当响应到来时要放在当前页面被调用的函数。
数据就是传入回调函数中的json数据，也就是回调函数的参数了。

function handleResponse(response){
console.log('The responsed data is: '+response.data);
}
var script = document.createElement('script');
script.src = 'http://www.baidu.com/json/?callback=handleResponse';
document.body.insertBefore(script, document.body.firstChild);
/*handleResonse({"data": "zhe"})*/
//原理如下：
//当我们通过script标签请求时
//后台就会根据相应的参数(json,handleResponse)
//来生成相应的json数据(handleResponse({"data": "zhe"}))
//最后这个返回的json数据(代码)就会被放在当前js文件中被执行
//至此跨域通信完成

缺点：

只能使用Get请求
不能注册success、error等事件监听函数，不能很容易的确定JSONP请求是否失败
JSONP是从其他域中加载代码执行，容易受到跨站请求伪造的攻击，其安全性无法确保

通过修改document.damain来进行跨域（主域相同）

前提条件：这两个域名必须属于同一个基础域名!而且所用的协议，端口都要一致，否则无法利用document.domain进行跨域，所以只能跨子域 。在根域范围内，允许把domain属性的值设置为它的上一级域。例如，在”aaa.xxx.com”域内，可以把domain设置为 “xxx.com” 但不能设置为 “xxx.org” 或者”com”

比如：http://www.a.com/a.html和http://www.script.a.com/b.html

1) 在www.a.com/a.html中：

 
document.domain = 'a.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://www.script.a.com/b.html';
ifr.display = none;
document.body.appendChild(ifr);
ifr.onload = function(){
 var doc = ifr.contentDocument || ifr.contentWindow.document;
 //在这里操作doc，也就是b.html
 ifr.onload = null;

2) 在www.script.a.com/b.html中：

1	document.domain = 'a.com';

在两个html下通过js将document.name = 'xxx.com';设置一致，来达到互相访问的作用。

使用window.name来进行跨域>

window.name通过在iframe（一般动态创建i）中加载跨域HTML文件来起作用。然后，HTML文件将传递给请求者的字符串内容赋值给window.name。然后，请求者可以检索window.name值作为响应。

iframe标签的跨域能力；
window.name属性值在文档刷新后依旧存在的能力（且最大允许2M左右）

比如：http://www.a.com/a.html和[http://www.b.com/b.html](http://www.script.a.com/b.html)

1) a.html

<script>
  var iframe = document.createElement('iframe');
  iframe.style.display = 'none'; // 隐藏
 
  var state = 0; // 防止页面无限刷新
  iframe.onload = function() {
      if(state === 1) {
          console.log(JSON.parse(iframe.contentWindow.name));
          // 清除创建的iframe
          iframe.contentWindow.document.write('');
          iframe.contentWindow.close();
          document.body.removeChild(iframe);
      } else if(state === 0) {
          state = 1;
          // 加载完成，指向当前域，防止错误(proxy.html为空白页面)
          // Blocked a frame with origin "http://www.a.com/a.html" from accessing a cross-origin frame.
          iframe.contentWindow.location = 'http://www.a.com/a.html';
      }
  };
 
  iframe.src = 'http://www.b.com/b.html';
  document.body.appendChild(iframe);
</script>

2)在b.com/b.html中包含

1
2
3

<script>
     window.name = '要传送的内容';
</script>

使用HTML5新引进的window.postMessage方法

HTML5新特性，可以用来向其他所有的 window 对象发送消息。需要注意的是我们必须要保证所有的脚本执行完才发送 MessageEvent，如果在函数执行的过程中调用了它，就会让后面的函数超时无法执行。

1) a.com/index.html：

 
<iframe id="ifr" src="b.com/index.html"></iframe>
<script type="text/javascript">
    window.onload = function() {
         var ifr = document.getElementById('ifr');
         var targetOrigin = 'http://b.com'; // 若写成'http://b.com/c/proxy.html'效果一样
         // 若写成'http://c.com'就不会执行postMessage了
         ifr.contentWindow.postMessage('I was there!', targetOrigin);
    };
</script>

2) b.com/index.html：

<script type="text/javascript">
     window.addEventListener('message', function(event){
      // 通过origin属性判断消息来源地址
      if (event.origin == 'http://a.com') {
         alert(event.data); // 弹出"I was there!"
         alert(event.source); // 对a.com、index.html中window对象的引用
         // 但由于同源策略，这里event.source不可以访问window对象
      }
     }, false);
</script>

CORS跨域

Cross-Origin Resource Sharing（CORS）跨域资源共享是一份浏览器技术的规范，提供了 Web 服务从不同域传来沙盒脚本的方法，以避开浏览器的同源策略，确保安全的跨域数据传输。现代浏览器使用CORS在API容器如XMLHttpRequest来减少HTTP请求的风险来源。与 JSONP 不同，CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。服务器一般需要增加如下响应头的一种或几种.

 
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
Access-Control-Max-Age: 86400

跨域请求默认不会携带Cookie信息，如果需要携带，请配置下述参数：

1
2
3

"Access-Control-Allow-Credentials": true
// Ajax设置
"withCredentials": true

IE中对CORS的实现是xdr

var xdr = new XDomainRequest();
xdr.onload = function(){
 console.log(xdr.responseText);
}
xdr.open('get', 'http://www.baidu.com');
......
xdr.send(null);

其它浏览器中的实现就在xhr中

 
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function () {
 if(xhr.readyState == 4){
  if(xhr.status >= 200 && xhr.status < 304 || xhr.status == 304){
   console.log(xhr.responseText);
  }
 }
}
xhr.open('get', 'http://www.baidu.com');
......
xhr.send(null);

实现跨浏览器的CORS

function createCORS(method, url){
 var xhr = new XMLHttpRequest();
 if('withCredentials' in xhr){
  xhr.open(method, url, true);
 }else if(typeof XDomainRequest != 'undefined'){
  var xhr = new XDomainRequest();
  xhr.open(method, url);
 }else{
  xhr = null;
 }
 return xhr;
}
var request = createCORS('get', 'http://www.baidu.com');
if(request){
 request.onload = function(){
   ......
 };
 request.send();
}

动态创建script

script标签不受同源策略的限制。

function loadScript(url, func) { 
        var head = document.head || document.getElementByTagName('head')[0]; 
        var script = document.createElement('script'); 
        script.src = url; 
        script.onload = script.onreadystatechange = function() { 
            if(!this.readyState || this.readyState == 'loaded' || this.readyState == 'complete') {  
                func();  
                script.onload = script.onreadystatechange = null; 
            } 
        }; 
        head.insertBefore(script, 0);
    }
    window.baidu = { 
        sug: function(data) { 
            console.log(data); 
        }
    }
    loadScript('http://suggestion.baidu.com/su?wd=w', function() {
        console.log('loaded')
    });
    //我们请求的内容在哪里？
    //我们可以在chorme调试面板的source中看到script引入的内容

利用location.hash 跨域

原理是利用location.hash来进行传值。

假设域名a.com下的文件cs1.html要和cnblogs.com域名下的cs2.html传递信息。

1) cs1.html首先创建自动创建一个隐藏的iframe，iframe的src指向cnblogs.com域名下的cs2.html页面

2) cs2.html响应请求后再将通过修改cs1.html的hash值来传递数据

3) 同时在cs1.html上加一个定时器，隔一段时间来判断location.hash的值有没有变化，一旦有变化则获取获取hash值

代码如下：先是a.com下的文件cs1.html文件：

function startRequest() {
        var ifr = document.createElement('iframe'); 
        ifr.style.display = 'none'; 
        ifr.src = 'http://www.cnblogs.com/lab/cscript/cs2.html#paramdo';
        document.body.appendChild(ifr);
 
    }
function checkHash() {
        try {           
            var data = location.hash ? location.hash.substring(1) : '';              
            if(console.log) {                   
                console.log('Now the data is ' + data);                  
            }             
        } catch(e) {};
}
setInterval(checkHash, 2000);

cnblogs.com域名下的cs2.html:

//模拟一个简单的参数处理操作
 
switch(location.hash) {     
    case '#paramdo':
          callBack();          
        break;         
    case '#paramset':
           //do something……
          break;
}
 
function callBack() {     
    try {          
        parent.location.hash = 'somedata';         
    } catch(e) {
           // ie、chrome的安全机制无法修改parent.location.hash，
           // 所以要利用一个中间的cnblogs域下的代理iframe          
        var ifrproxy = document.createElement('iframe');          
        ifrproxy.style.display = 'none';          
        ifrproxy.src = 'http://a.com/test/cscript/cs3.html#somedata'; // 注意该文件在"a.com"域下          
        document.body.appendChild(ifrproxy);         
    }
}

a.com下的域名cs3.html：

1
2
3

//因为parent.parent和自身属于同一个域，所以可以改变其location.hash的值
 
parent.parent.location.hash = self.location.hash.substring(1);

web sockets

web sockets是一种浏览器的API，它的目标是在一个单独的持久连接上提供全双工、双向通信。(同源策略对web sockets不适用)

web sockets原理：在JS创建了web socket之后，会有一个HTTP请求发送到浏览器以发起连接。取得服务器响应后，建立的连接会使用HTTP升级从HTTP协议交换为web sockt协议。

只有在支持web socket协议的服务器上才能正常工作。

var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss
socket.send('hello WebSockt');
socket.onmessage = function(event){
 var data = event.data;
}

nginx反向代理

可以不用目标服务器配合，不过需要搭建一个中转nginx服务器，用于转发请求。需要在运维层面修改，且有可能请求的资源并不再我们控制范围内（第三方），所以该方式不能作为通用的解决方案。

参考

https://blog.csdn.net/maggie_live/article/details/80005177

https://blog.csdn.net/animatecat/article/details/82744098