jsonp和跨域

1： 什么是同源策略

浏览器出于安全方面的考虑，只允许与本域下（同协议/同域名/同端口）的接口交互。不同源的客户端脚本在没有明确授权的情况下，浏览器不能读写对方的资源。

2： 什么是跨域？跨域有几种实现形式
跨域：当前执行或加载的js文件所在页面和该js里面请求消息的URL不同域。

跨域问题出现的场景：ajax请求不同域网站和iframe元素包含不同域网站。跨域请求数据，后端都是提供了数据的，是浏览器判断不同域拦截了数据

解决跨域问题的方式：

• jsonp
• CORS（Cross-Origin Resource Sharing，跨域资源共享）
• 降域
  原理：主域名相同，二级域名不同，将二者的document.domain设置为主域名，则降为同域了
  使用场景：操作iframe
• postMessage
  不同域之间不能相互获取数据，但是可以主动向对方发送数据，双方各自监听数据，然后自己决定是否使用该数据

3： JSONP 的原理是什么

实现基础：html中script标签可以引入其他域下的js。利用这个特性，可实现跨域访问接口。需要后端支持
注：script标签的作用，就是向src指向的地址发送请求，然后该地址返回数据，浏览器将得到的数据作为js去执行

** 实现方式：
1.定义数据处理函数_fun
2.创建script标签，src的地址指向后端地址，在地址最后加个参数callback=_fun
3.服务端在收到请求后，解析参数，计算返还数据，输出 fun(data)字符串。
4.fun(data)是后端返回的数据，作为 js执行**，即调用fun函数，data做为参数。

举例：
在script里请求数据：

<script src='http://www.weather.com.cn?city=chengdu&callback=showWeather'></script>

浏览器加载的js里面定义如下函数：

<script>
  function showWeather(json){
    ...
  }
</script>

后端返回字符串（浏览器将其作为js执行，即调用当前页面加载js的函数showWeather）：

showWeather（{
  city: chengdu,
  weather:{...}
}）

缺点：有点复杂，不如ajax直白；容易出现xss攻击（获取的数据被当作js执行，可能会盗取本地数据等）

4： CORS是什么

CORS（Cross-Origin Resource Sharing，跨域资源共享），是一种 ajax 跨域请求资源的方式，支持现代浏览器，IE支持10以上。 实现方式很简单，当你使用 XMLHttpRequest 发送请求时，浏览器发现该请求不符合同源策略，会给该请求加一个请求头：Origin，后台进行一系列处理，如果确定接受请求则在返回结果中加入一个响应头：Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值，如果有则浏览器会处理响应，我们就可以拿到响应数据，如果不包含浏览器直接驳回，这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别，代码完全一样。

即在服务端返给请求方的http头部，加上如下字段。浏览器判断到response headers有如下字段，则不会拦截不同域数据。

Access-Control-Allow-Origin： 请求发起方的url  或者 *

5： 根据视频里的讲解演示三种以上跨域的解决方式

• jsonp（同上）
• cors（同上）
• 降域
  二级域名间（不同域）嵌套操作时，使用document.domain = '主域名'降域（同域）
• postMessage
  嵌套页面互相发送postMessage，同时监听消息window.addEventListener('message',function(e) {})