同源策略以及CORS

同源策略

只有协议+端口+域名都一模一样，才允许发AJAX请求！
一模一样一模一样一模一样！

1. http://baidu.com 可以向 http://www.baidu.com 发 AJAX 请求吗 不行！域名不同！
2. http://baidu.com:80 可以向 http://baidu.com:81 发 AJAX 请求吗 不行！端口不同！

详细可以参考：《阮一峰：浏览器同源政策及其规避方法》

CORS

CORS = Cross-Origin Resourse Sharing

CORS可以告诉浏览器，我俩一家的，别阻止他。

怎么做?

后端在需要共享的资源上写
response.setHeader('Access-Control-Allow-Origin','目标网站，*为全部可请求')

JSONP不能够POST，CORS则是可以的。