一、跨域？

1、什么是跨域？

跨域，指的是从一个域下访问另一个域的资源。

注：只要协议、域名、端口有任何一个不同，都被当作是不同的域，之间的请求就是跨域操作。

2、跨域的原因？

浏览器的同源策略会导致跨域，这里同源策略又分为以下两种；

1. DOM同源策略：禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况，不同域名的iframe是限制互相访问的；
2. XmlHttpRequest同源策略：禁止使用XHR对象向不同源的服务器地址发起HTTP请求；

3、为什么需要限制跨域？

安全，安全，安全。

1. cookie安全；
   假如你登录了银行网站后，又访问了某恶意网站，它便可以拿到你银行登录的一系列cookie，然后对银行发起各种恶意操作，细思极恐；

2. DOM安全；
   假如有个恶意网站嵌套了一个指向某银行网站的iframe，并且与窗口等宽高，那么你在iframe里面的所有操作节点，外层恶意网站都能够获取到，从而发起攻击；

3. 资源安全。
   假如你项目的AJAX接口，项目资源全都暴露在外，那么一个普通的本地HTML页面都可以随意请求你的项目资源，这样当然是极度不安全的；

注：<script>、<img>、<iframe>等标签则不受跨域限制。

二、解决方案

1、JSONP

JSONP(JSON with Padding)，是JSON的一种使用模式。服务端返回的不是JSON，而是一段任意可执行的JavaScript代码。是利用script标签的src属性，将返回的内容采用JavaScript直译器执行，从而解决跨域请求资源的问题。

假设接口http://api.cjt.com/users返回[{"name": "曹建涛", "age": 18}]，直接跨域访问当然是不行的那么，我们修改server端，返回的格式为：

callback(
  [{
    name: "曹建涛",
    age: 18
  }]
)

然后在client端编写callback方法，并添加script标签，src指向http://api.cjt.com/users，即可解决；

实际开发中接口请求回调的处理方法都是独立的，因而是请求后在当前页面动态地添加script节点和回调方法，请求处理完成再行销毁掉保证一致性。

var url = "http://api.cjt.com/users?callback=handle";
var obj = $('<script><\/script>');
obj.attr("src",url);
// 添加handle的具体实现
$("body").append(obj);

伟大的jQuery已经为我们进行了完美的封装，具体使用请查阅jQuery ajax。

由于实现原理的限制，JSONP只支持GET请求。

2、CORS

CORS(Cross-Origin Resource Sharing)，直译便是跨域资源共享，也是W3C正式推荐的标准。

跨域请求会出现著名的error提示：No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'xxx' is therefore not allowed access.也就是说服务端response header没有对应的Access-Controll-Allow-Origin，因而xxx被拒绝访问。

修改server端，添加对应的响应头部：

response.setHeader("Access-Control-Allow-Origin", "*");

*代表允许所有来源，也可指定域名或IP。类似还有Access-Control-Allow-Methods、Access-Control-Allow-Headers，具体作用一看便知。然后便可直接正常使用ajax请求，无异。

注意复杂请求的preflight预检请求，预检请求必须通过才能发起后续真正的接口请求。

3、服务器代理

跨域限制是对于浏览器而言的，服务器不存在任何跨域问题。换句话说，可以手动实现一个server端用作代理，后台获取到所需域的资源，然后再返回给客户端。

例如Java中的servlet，采用HttpURLConnection获取到它域的资源，然后返回给client调用方即可。