一、为什么会出现跨域问题

 

　　出于浏览器的同源策略限制。同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol），主机（host）和端口号（port）

 

　　二、什么是跨域

 

　　当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

 

　　当前页面url被请求页面url是否跨域原因

 

　　http://www.test.com/http://www.test.com/index.html否同源（协议、域名、端口号相同）

 

　　http://www.test.com/https://www.test.com/index.html跨域协议不同（http/https）

 

　　http://www.test.com/http://www.baidu.com/跨域主域名不同（test/baidu）

 

　　http://www.test.com/http://blog.test.com/跨域子域名不同（www/blog）

 

　　http://www.test.com:8080/http://www.test.com:7001/跨域端口号不同（8080/7001）

 

　　三、非同源限制

 

　　【1】无法读取非同源网页的Cookie、LocalStorage和IndexedDB

 

　　【2】无法接触非同源网页的DOM

 

　　【3】无法向非同源地址发送AJAX请求

 

　　四、跨域解决方法

 

　　【1】设置document.domain解决无法读取非同源网页的Cookie问题

 

　　因为浏览器是通过document.domain属性来检查两个页面是否同源，因此只要通过设置相同的document.domain，两个页面就可以共享Cookie

 

　　1//两个页面都设置2document.domain='test.com';

 

　　【2】跨文档通信API：window.postMessage()

 

　　调用postMessage方法实现父窗口http://test1.com向子窗口http://test2.com发消息（子窗口同样可以通过该方法发送消息给父窗口）

 

　　1//父窗口打开一个子窗口

 

　　2varopenWindow=window.open('http://test2.com','title');

 

　　3

 

　　4//父窗口向子窗口发消息(第一个参数代表发送的内容，第二个参数代表接收消息窗口的url)

 

　　5openWindow.postMessage('Nicetomeetyou!','http://test2.com');

 

　　调用message事件，监听对方发送的消息

 

　　1//监听message消息

 

　　2window.addEventListener('message',function(e){

 

　　3console.log(e.source);//e.source发送消息的窗口

 

　　4console.log(e.origin);//e.origin消息发向的网址

 

　　5console.log(e.data);//e.data发送的消息

 

　　6},false);

 

　　【3】JSONP

 

　　JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用，兼容性好（兼容低版本IE），缺点是只支持get请求，不支持post请求。

 

　　核心思想：网页通过添加一个<script>元素，向服务器请求JSON数据，服务器收到请求后，将数据放在一个指定名字的回调函数的参数位置传回来。

 

　　1<scriptsrc="http://test.com/data.php?callback=dosomething"></script>

 

　　2//向服务器test.com发出请求，该请求的查询字符串有一个callback参数，用来指定回调函数的名字

 

　　3

 

　　4//处理服务器返回回调函数的数据

 

　　5<scripttype="text/javascript">

 

　　6functiondosomething(data){

 

　　7//处理获得的数据

 

　　8}

 

　　9</script>

 

　　【4】CORS

 

　　CORS是跨域资源分享（Cross-OriginResourceSharing）的缩写。它是W3C标准，属于跨源AJAX请求的根本解决方法。

 

　　1.前端代码（需要判断浏览器是否支持情况）

 

　　1functioncreateCORSRequest(method,url){

 

　　2varxhr=newXMLHttpRequest();

 

　　3if("withCredentials"inxhr){

 

　　4

 

　　5//此时即支持CORS的情况

 

　　6//检查XMLHttpRequest对象是否有“withCredentials”属性

 

　　7//“withCredentials”仅存在于XMLHTTPRequest2对象里

 

　　8xhr.open(method,url,true);

 

　　9

 

　　10}elseif(typeof!="undefined"){

 

　　11

 

　　12//否则检查是否支持XDomainRequest，IE8和IE9支持

 

　　13//XDomainRequest仅存在于IE中，是IE用于支持CORS请求的方式

 

　　14xhr=newXDomainRequest();

 

　　15xhr.open(method,url);

 

　　16

 

　　17}else{

 

　　18

 

　　19//否则，浏览器不支持CORS

 

　　20xhr=null;

 

　　21

 

　　22}

 

　　23returnxhr;

 

　　24}

 

　　25

 

　　26varxhr=createCORSRequest('GET',url);

 

　　27if(!xhr){

 

　　28thrownewError('CORSnotsupported');

 

　　29}

 

　　2.服务器

 

　　服务器端对于CORS的支持，主要是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置，就可以允许Ajax进行跨域的访问。我们主要介绍Apache和PHP里的设置方法

 

　　Apache需要使用mod_headers模块来激活HTTP头的设置，它默认是激活的。你只需要在Apache配置文件的<Directory>,<Location>,<Files>或<VirtualHost>的配置里加入以下内容即可

 

　　HeadersetAccess-Control-Allow-Origin*

 

　　PHP使用如下代码设置即可

 

　　1<?php2header("Access-Control-Allow-Origin:*");