同源与跨域

       同源政策指的是协议相同、域名相同以及端口相同同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

主域相同的跨域- document.domain

document.domain的场景只适用于不同子域的框架间的交互，及主域必须相同的不同源

    页面可能会更改其自己的来源，但有一些限制。脚本可以将 document.domain的值设置为其当前域或其当前域的超级域。如果将其设置为其当前域的超级域，则较短的域将用于后续原始检查;

    A网页是http://w1.example.com/a.html，B网页是http://w2.example.com/b.html，那么只要设置相同的document.domain

    document.domain='example.com';

通过JSONP跨域：

    网页通过添加一个元素，向服务器请求JSON数据，这种做法不受同源政策限制；服务器收到请求后，将数据放在一个指定名字的回调函数里传回来

JSONP的优缺点

    JSONP的优点是：它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制；它的兼容性更好，在更加古老的浏览器中都可以运行，不需要XMLHttpRequest或ActiveX的支持；并且在请求完毕后可以通过调用callback的方式回传结果。

    JSONP的缺点则是：它只支持GET请求而不支持POST等其它类型的HTTP请求；它只支持跨域HTTP请求这种情况，不能解决不同域的两个页面之间如何进行JavaScript调用的问题。

通过CORS跨域

    跨域资源共享（Cross-Origin Resource Sharing，简称 CORS），是 HTML5 提供的标准跨域解决方案

    CORS 是一个由浏览器共同遵循的一套控制策略，通过HTTP的Header来进行交互。浏览器在识别到发起的请求是跨域请求的时候，会将Origin的Header加入HTTP请求发送给服务器；服务器端接收到这个请求之后，会根据一定的规则判断是否允许该来源域的请求，如果允许的话，服务器在返回的响应中会附带上Access-Control-Allow-Origin这个Header；

    如果服务器允许所有的跨域请求的话，将Access-Control-Allow-Origin的Header设置为*即可，浏览器根据是否返回了对应的Header来决定该跨域请求是否成功，如果没有附加对应的Header，浏览器将会拦截该请求。

    CORS规范将请求分为两种类型，一种是简单请求，另外一种是带预检的请求。预检机制是一种保护机制，防止资源被本来没有权限的请求修改。浏览器会在发送实际请求之前先发送一个OPTIONS的HTTP请求来判断服务器是否能接受该跨域请求。如果不能接受的话，浏览器会直接阻止接下来实际请求的发生。

只有同时满足以下两个条件才不需要发送预检请求：

请求方法是如下之一：

    GET

    HEAD

    POST

所有的Header都在如下列表中：

    Cache-Control

    Content-Language

    Content-Type

    Expires

    Last-Modified

    Pragma

预检请求会附带一些关于接下来的请求的信息给服务器，主要有以下几种：

Origin：请求的源域信息

    Access-Control-Request-Method：接下来的请求类型，如POST、GET等

    Access-Control-Request-Headers：接下来的请求中包含的用户显式设置的Header列表

服务器端收到请求之后，会根据附带的信息来判断是否允许该跨域请求，信息返回同样是通过Header完成的：

    Access-Control-Allow-Origin：允许跨域的Origin列表

    Access-Control-Allow-Methods：允许跨域的方法列表

    Access-Control-Allow-Headers：允许跨域的Header列表

    Access-Control-Expose-Headers：允许暴露给JavaScript代码的Header列表

    Access-Control-Max-Age：最大的浏览器缓存时间，单位s。

通过window.pastMessage跨域

HTML5为了解决这个问题，引入了一个全新的API：跨文档通信 API（Cross-document messaging）。

这个API为window对象新增了一个window.postMessage方法，允许跨窗口通信，不论这两个窗口是否同源。

postMessage方法的第一个参数是具体的信息内容，第二个参数是接收消息的窗口的源（origin），即"协议 + 域名 + 端口"。也可以设为*，表示不限制域名，向所有窗口发送。

otherWindow.postMessage(message, targetOrigin, [transfer]);

message事件的事件对象event，提供以下三个属性。

    event.source：发送消息的窗口

    event.origin: 消息发向的网址

    event.data: 消息内容