跨域

题目1： 什么是同源策略

同源策略(Same origin Policy): 浏览器出于安全方面的考虑，只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方的资源。
同源即同域。包括

1. 协议。常见：http\https\file（本地）\ssh\ftp。
2. 域名（协议后至第一个/前）。
3. 端口。不写就是默认80端口。如果一个写了80而一个没有写，要看浏览器如何配置。
   上述三者全部相同,即同源.
   需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要，重要的是加载该 JS 页面所在什么域

---

题目2： 什么是跨域？跨域有几种实现形式

跨域，指的是突破同源策略的限制，本源的客户端脚本访问其他源的数据。
实现形式:

1. JSONP
2. CORS
3. 降域
4. window.postMessage()

---

题目3： JSONP 的原理是什么

实现原理： <script>标签里可以引入其他域下的js。
前端：

1. 在html里创建一个<script>标签,设置src为请求地址同时传给他一个callback，并把标签放入<head>里，然后删除(否则事件每触发一次就会加一个标签)
2. JS中有一个与callback对应的函数,用于处理返回的数据
   后端：
3. 准备数据.拿到callback的参数,把要传递的内容转换成JSON格式的字符串加上函数名。就是把数据包一下,用函数的形式返回，而html里刚好有一个同名的可执行的函数。
   优点：在本地也可以执行。

---

题目4： CORS是什么

CORS 全称是跨域资源共享（Cross-Origin Resource Sharing），是一种 ajax 跨域请求资源的方式，支持现代浏览器，IE支持10以上。
实现方式很简单，当你使用 XMLHttpRequest 发送请求时，浏览器发现该请求不符合同源策略，会给该请求加一个请求头：Origin，后台进行一系列处理，如果确定接受请求则在返回结果中加入一个响应头：Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值，如果有则浏览器会处理响应，我们就可以拿到响应数据，如果不包含浏览器直接驳回，这时我们无法拿到响应数据。
所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别，代码完全一样。

---

题目5： 根据视频里的讲解演示三种以上跨域的解决方式

JSONP

代码：

<!--client-side-->

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>news</title>
<style>
  .container{
    width: 900px;
    margin: 0 auto;
  }
</style>
</head>
<body>
  <div class="container">
    <ul class="news">
      <li>第11日前瞻：中国冲击4金 博尔特再战</li>
      <li>男双力争会师决赛 </li> 
      <li>女排将死磕巴西！</li>
    </ul>
    <button class="change">换一组</button>
  </div>
  
<script>
  
  $('.change').addEventListener('click', function(){
    var script = document.createElement('script');
    script.src = 'http://a.jjj.com:8080/getNews?callback=appendHTML'
    document.head.appendChild(script)
    document.head.removeChild(script)
  })

function appendHTML(data){
    var html = ''
    for(var i=0; i<data.length; i++){
      html += '<li>' + data[i] + '</li>'
    }
    $('.news').innerHTML = html
}

  function $(id){
    return document.querySelector(id);
  }
</script>

</html

//router.js
app.get('/getNews', function(req, res){

    var news = [
        "第11日前瞻：中国冲击4金 博尔特再战200米羽球",
        "正直播柴飚/洪炜出战 男双力争会师决赛",
        "女排将死磕巴西！郎平安排男陪练模仿对方核心",
        "没有中国选手和巨星的110米栏 我们还看吗？",
        "中英上演奥运金牌大战",
        "博彩赔率挺中国夺回第二纽约时报：中国因对手服禁药而丢失的奖牌最多",
        "最“出柜”奥运？同性之爱闪耀里约",
        "下跪拜谢与洪荒之力一样 都是真情流露"
    ]
    var data = [];
    for(var i=0; i<3; i++){
        var index = parseInt(Math.random()*news.length);
        data.push(news[index]);
        news.splice(index, 1);
    }

    var cb = req.query.callback
    if(cb){
        res.send(cd + '(' + JSON.stringify(data) + ')')
    }else{
        res.send(data)
    }
    
})

CORS

res.header("Access-Control-Allow-Origin", "http://a.jjj.com:8080"); //允许该网站请求数据

降域
两个网址a.jjj.com和b.jjj.com有相同的部分,所以可以降域到jjj.com
document.domain = "jjj.com"

postMessage
window.postMessage() 语法:otherWindow.postMessage(message, targetOrigin, [transfer]);

• otherWindow: 其他窗口的一个引用，比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。
• message: 将要发送到其他window的数据。

• targetOrigin: 通过窗口的origin属性来指定哪些窗口能接收到消息事件，其值可以是字符串"*"（表示无限制）或者一个URI。

  
  
  

//a.html
$('.main input').addEventListener('input', function(){
    console.log(this.value);
    window.frames[0].postMessage(this.value,'*'); // 允许所有域名的请求
})

window.addEventListener('message',function(e) {
    $('.main input').value = e.data
        console.log(e.data);
});