定义

CORS (Cross-Origin Resource Sharing)是W3C的一个工作草案，定义了在必须访问跨域资源时，浏览器与服务器应该如何沟通。

基本思想

使用自定义的HTTP头部让浏览器与服务器进行沟通，从而决定请求或响应是成功或者失败。

例子

比如一个简单的使用GET或POST发送的请求，它没有自定义的头部，在发送请求时，需要额外加一个Origin头:

 Origin: http://www.nczonline.net

如果服务器认为这个请求可以接受，就在Access-Control-Allow-Origin投不中回发相同的源信息(如果是公共资源，可以回发"*")：

Access-Control-Allow-Origin: http://www.nczonline.net

IE & Modern Browser

IE

通过XDR(XDomainRequest)对象实现，有以下关键点：

• 其Origin头部的值表示请求的来源域，且不可修改
• cookie不会发送，也不会返回
• 只能设置头部信息中的Content-Type字段
• 不能访问响应的头部信息
• 只支持GET和POST请求
• 实例对象时只接收2个参数(请求类型和url)，所有请求都是异步请求

Modern Browser

传入绝对路径的url，无需额外代码就可以触发CORS的行为

JSONP

利用<script>元素有能力不受限制的调用其他域加载资源的特性实现：

function handleResponse(response){
    alert("You re at IP address " + response.ip + ", which is in " + response.city + ", " + response.region_name);
}
var script = document.createElement("script");
script.src = "http://freegeoip.net/json/?callback=handleResponse"; document.body.insertBefore(script, document.body.firstChild);

有以下关键点：

• 客户端和服务端需统一URL中的回调参数名
• 这个<script>指向一个的文件，实则是包含可执行的js代码，执行了规定的回调函数，并将数据传到函数中