同源策略及跨域问题

1、同源策略

• 源（origin）

　　就是协议、域名和端口号。若地址里面的协议、域名和端口号均相同则属于同源。
　　如下是相对于 http://www.a.com/test/index.html 的同源检测：

1. http://www.a.com/dir/page.html ----成功
2. http://www.child.a.com/test/index.html ----失败，域名不一样
3. https://www.a.com/test/index.html ----失败，协议不一样
4. http://www.a.com:8080/test/index.html ----失败，端口号不一样

• 同源策略

　　同源策略是浏览器的一个安全功能，不一样源的客户端脚本在没有明确受权的状况下，不能读写对方资源。因此a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。

• 不受同源策略限制的

1. 页面中的连接，重定向以及表单提交是不会受到同源策略限制的。
2. 跨域资源的引入是能够的。可是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>，<img>，<link>，<iframe>等。

2、跨域

• 跨域

　　只要协议、域名、端口号有一个不一样就是跨域。

• 跨域的缘由

　　跨域问题来源于JavaScript的同源策略，即只有 协议+主机名+端口号(如存在)相同，则容许相互访问。为了防止某域名下的接口被其余域名下的网页非法调用，是浏览器对JavaScript施加的安全限制。也就是说JavaScript只能访问和操做本身域下的资源，不能访问和操做其余域下的资源。跨域问题是针对JS和ajax的，html自己没有跨域问题，好比a标签、script标签、甚至form标签（能够直接跨域发送数据并接收数据）等。

3、跨域问题解决方案

• jsonp

　　利用script标签可跨域的特色，在跨域脚本中能够直接回调当前脚本的函数。

• cors

　　服务器设置HTTP响应头中Access-Control-Allow-Origin值，解除跨域限制。

　　注意：这两个跨域方案都存在一个致命的缺陷，严重依赖后端的协助。

　　下面就介绍一种前端独立就能解决的跨域方案：

• 反向代理（Reverse Proxy）

　　指以代理服务器来接受internet上的链接请求，而后将请求转发给内部网络上的服务器，并将从服务器上获得的结果返回给internet上请求链接的客户端，此时代理服务器对外就表现为一个反向代理服务器。