关于同源策略

<script src=http://a.com/a.js></script>在浏览器中，<script><img><iframe><link>等标签都可以跨域加载资源，不受同源策略限制。这些带“src”属性的标签加载时，相当于GET请求，但加载的资源浏览器限制了JavaScript权限，使其不能读写返回的内容。
对于XMLHttpRequest，受到同源策略约束，不能跨域访问资源。否则会导致CSRF等问题。除非得到了HTTP头授权是否允许跨域访问。