同源策略是什么

同源策略是瀏覽器的一個(gè)安全功能，不同源的客戶端腳本在沒(méi)有明確授權(quán)的情況下，不能讀寫對(duì)方資源。所以xyz.com下的js腳本采用ajax讀取abc.com里面的文件數(shù)據(jù)是會(huì)被拒絕的。
同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來(lái)自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。

為什么瀏覽器不支持跨域請(qǐng)求

為了保證安全性，防止CSRF攻擊。

跨域的幾種解決辦法

1.document.domain + iframe (只有在主域相同的時(shí)候才能使用該方法)
2.動(dòng)態(tài)創(chuàng)建script
3.location.hash + iframe
4.window.name + iframe
5.postMessage（HTML5中的XMLHttpRequest Level 2中的API）
6.CORS
7.JSONP
8.web sockets

CORS解決跨域

CORS是一個(gè)W3C標(biāo)準(zhǔn)，全稱是"跨域資源共享"（Cross-origin resource sharing）。
它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而克服了AJAX只能同源使用的限制。
CORS相關(guān)字段
（1）Access-Control-Allow-Origin
該字段是必須的。它的值要么是請(qǐng)求時(shí)Origin字段的值，要么是一個(gè)*，表示接受任意域名的請(qǐng)求。
（2）Access-Control-Allow-Credentials
該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送Cookie。默認(rèn)情況下，Cookie不包括在CORS請(qǐng)求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie可以包含在請(qǐng)求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie，刪除該字段即可。
（3）Access-Control-Expose-Headers
該字段可選。CORS請(qǐng)求時(shí)，XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值。
（4）Access-Control-Allow-Methods
該字段必需，它的值是逗號(hào)分隔的一個(gè)字符串，表明服務(wù)器支持的所有跨域請(qǐng)求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次"預(yù)檢"請(qǐng)求。
（5）Access-Control-Allow-Headers
如果瀏覽器請(qǐng)求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請(qǐng)求的字段。
（6）Access-Control-Max-Age
該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

本人學(xué)識(shí)有限 文章多有不足

若有錯(cuò)誤 請(qǐng)大方指出 以免誤導(dǎo)他人