形成跨域的缘由和解决方法

浏览器的同源策略是浏览器上为安全性考虑实施的很是重要的安全策略。
从一个域上加载的脚本不容许访问另一个域的文档属性。
举个例子：好比一个恶意网站的页面经过iframe嵌入了银行的登陆页面（两者不一样源），
若是没有同源限制，恶意网页上的javascript脚本就能够在用户登陆银行的时候获取用户名和密码。
何谓同源:URL由协议、域名、端口和路径组成，若是两个URL的协议、域名和端口相同，则表示它们同源。
在浏览器中，<script>、<img>、<iframe>、<link>等标签均可以加载跨域资源，而不受同源限制，
但浏览器会限制脚本中发起的跨域请求。好比，使用 XMLHttpRequest 对象和Fetch发起 HTTP 请求就必须遵照同源策略。
Web 应用程序经过 XMLHttpRequest 对象或Fetch能且只能向同域名的资源发起 HTTP 请求，而不能向任何其它域名发起请求。
不容许跨域访问并不是是浏览器限制了发起跨站请求，而是跨站请求能够正常发起，可是返回结果被浏览器拦截了。
最好的例子是CSRF跨站攻击原理，请求是发送到了后端服务器,不管是否设置容许跨域,
有些浏览器不容许从HTTPS跨域访问HTTP，好比Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求,这是特例。

克服跨域限制的方法有(实践中后两种最经常使用，因此重点介绍):
(1)经过jsonp跨域
(2)经过修改document.domain来跨子域
(3)使用window.name来进行跨域
(4)使用HTML5中新引进的window.postMessage方法来跨域传送数据
(5)使用代理服务器,使用代理方式跨域更加直接，由于同源限制是浏览器实现的。若是请求不是从浏览器发起的，就不存在跨域问题了。
使用本方法跨域步骤以下：
1. 把访问其它域的请求替换为本域的请求
2. 服务器端的动态脚本负责将本域的请求转发成实际的请求
为了经过Ajax从http://localhost:8080访问http://localhost:8081/api，能够将请求发往http://localhost:8080/api。
而后利用Apache Web服务器的Reverse Proxy功能作以下配置：ProxyPass /api http://localhost:8081/api
(6)CORS全称是"跨域资源共享"（Cross-origin resource sharing),CORS须要浏览器和服务器同时支持。目前，全部浏览器都支持该功能
(IE浏览器不能低于IE10)，所以，实现CORS通讯的关键是服务器。只要服务器实现了CORS接口，就能够跨源通讯。
浏览器将CORS请求分红两类：简单请求（simple request）和非简单请求（not-so-simple request）
（1) 请求方法是如下三种方法之一：HEAD GET POST
（2）HTTP的头信息不超出如下几种字段：Accept Accept-Language Content-Language Last-Event-ID
Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不一样时知足上面两个条件，就属于非简单请求。

对于简单请求，浏览器在发出CORS请求时会在头信息之中增长一个Origin字段。服务器的返回会多出3个字段：
Access-Control-Allow-Origin(必须) 容许跨域的源
Access-Control-Allow-Credentials(可选) 表示是否容许发送Cookie。默认状况下，Cookie能够包含在请求中，一块儿发给服务器
若是服务器不须要浏览器发送Cookie，删除该字段便可。
Access-Control-Expose-Headers(可选) CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：
Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。若是想拿到其余字段，
就必须在Access-Control-Expose-Headers里面指定。如指定Access-Control-Expose-Headers: FooBar，则可经过
getResponseHeader('FooBar')获取FooBar字段的值。

非简单请求是那种对服务器有特殊要求的请求，好比请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。
非简单请求的CORS请求，会在正式通讯以前，增长一次HTTP查询请求，称为"预检"请求（preflight）。
"预检"请求用的请求方法是OPTIONS，表示这个请求是用来询问的。头信息里面，关键字段是Origin，表示请求来自哪一个源。
浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可使用哪些HTTP动词和头信息字段。只有获得确定答复，
浏览器才会发出正式的XMLHttpRequest请求，不然就报错。