摘要：設(shè)置的值，為其當(dāng)前域或其當(dāng)前域的父域。場(chǎng)景文檔中的一個(gè)腳本執(zhí)行以下語句即可通過同源檢測(cè)跨源網(wǎng)絡(luò)訪問同源策略控制了不同源之間的交互。服務(wù)器確認(rèn)允許之后，才發(fā)起實(shí)際的請(qǐng)求。

文章大綱

同源策略

同源是什么？

如何跨源，以及場(chǎng)景應(yīng)用

源的更改

跨源網(wǎng)絡(luò)訪問

跨源腳本API訪問

跨源數(shù)據(jù)存儲(chǔ)訪問

了解CORS

CORS是什么？

CORS功能概述

CORS關(guān)于Cookie

CORS的簡(jiǎn)單請(qǐng)求

CORS預(yù)檢請(qǐng)求又是什么？

其他

參考

同源策略 同源是什么？

在web瀏覽器中，同源策略 限制了從同一個(gè)源加載的文檔或腳本如何與來自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。

如果兩個(gè)頁面的

1.協(xié)議

2.端口（如果有指定）

3.域名

三者都相同，則兩個(gè)頁面具有相同的源。

舉例說明 http://store.example.com/dir/page.html 同源檢測(cè)的示例:

URL	結(jié)果	原因
http://store.example.com/index.html	成功
http://store.example.com/dir/another.html	成功
https://store.example.com/index.html	失敗	不同協(xié)議 ( https和http )
http://store.example.com:81/index.html	失敗	不同端口 ( 81和80)
http://news.example.com/index.html	失敗	不同域名 ( news和store )
http://example.com/index.html	失敗	不同域名 (store是一個(gè)多帶帶的自域)

如何跨源，以及場(chǎng)景應(yīng)用

以下為4種可以遇到的跨源

源的更改

頁面可能會(huì)因某些限制而改變他的源。

設(shè)置 document.domain 的值，為其當(dāng)前域或其當(dāng)前域的父域。

場(chǎng)景 http://store.example.com/dir/page.html 文檔中的一個(gè)腳本執(zhí)行以下語句 document.domain = "company.com" 即可通過同源檢測(cè)

跨源網(wǎng)絡(luò)訪問

同源策略控制了不同源之間的交互。

使用 CORS 允許跨源訪問。

場(chǎng)景 由瀏覽器發(fā)起的跨域 HTTP 請(qǐng)求 (這個(gè)大家接觸的最多)

跨源腳本API訪問

Javascript的APIs中，允許文檔間直接相互引用。但是當(dāng)兩個(gè)文檔的源不同時(shí)，一些引用方式將對(duì) API對(duì)象的訪問添加限制

可以使用window.postMessage

場(chǎng)景 使用