什么是同源策略

浏览器出于安全方面的考虑，只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方的资源。
本域指的是？
同协议：如都是http或者https
同域名：如都是http://jirengu.com/a 和http://jirengu.com/b
同端口：如都是80端口
如：
http://jirengu.com/a/b.js 和 http://jirengu.com/index.php (同源)
不同源的例子：
http://jirengu.com/main.js 和 https://jirengu.com/a.php (协议不同)
http://jirengu.com/main.js 和 http://bbs.jirengu.com/a.php (域名不同，域名必须完全相同才可以)
http://jiengu.com/main.js 和 http://jirengu.com:8080/a.php (端口不同,第一个是80)
需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要，重要的是加载该 JS 页面所在什么域

什么是跨域？跨域有几种实现形式

从一个域名的网页去请求另一个域名资源，严格意义上讲只要协议域名端口有一个不同就属于跨域
JSONP
CORS
降域
postMessage

JSONP 的原理是什么

我们会发现在html下引入外界地址的script标签是可行的，比如各种框架。那么也就是说同源策略并没有对script的src进行监测，而且script的特性是在页面加载时会访问script的src，那么我们可以将这个src想象成一个简单的get请求，通过访问这个地址，我们可以配合后端对路由进行参数配置，使这段访问的src中加入一些参数，从而灵活的从后端调取数据

CORS是什么

"跨域资源共享"（Cross-origin resource sharing）
它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。
实现方式是，当你使用XMLHttpRequest发送请求时，浏览器发现该请求不符合同源策略，会给该请求加一个请求头：Origin，后台进行一系列处理，如果确定接受请求则在返回结果中加入一个响应头Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含Origin 的值，如果有则浏览器会处理响应：，我们就可以拿到响应数据，如果不包含浏览器直接驳回，这时我们无法拿到响应数据。