摘要：為什么有跨域問題因?yàn)闉g覽器的同源策略，導(dǎo)致了跨域問題的出現(xiàn)。一同源策略什么是同源策略同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來自另一個(gè)源的資源進(jìn)行交互。為什么需要同源策略出于安全原因，瀏覽器限制從腳本內(nèi)發(fā)起的跨源請(qǐng)求。

為什么有跨域問題

因?yàn)闉g覽器的同源策略，導(dǎo)致了跨域問題的出現(xiàn)。

同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。

出于安全原因，瀏覽器限制從腳本內(nèi)發(fā)起的跨源HTTP請(qǐng)求。 例如XMLHttpRequest遵循同源策略。 這意味著使用這些API的Web應(yīng)用程序只能從加載應(yīng)用程序的同一個(gè)域請(qǐng)求HTTP資源，除非使用CORS頭文件或其他跨域方法。

沒有同源策略的兩大安全隱患：

針對(duì)接口請(qǐng)求
常見的場(chǎng)景為：cookie獲取，CSRF攻擊：(Cross-site request forgery)跨站請(qǐng)求偽造

One Day，當(dāng)你興致勃勃在某寶上準(zhǔn)備雙11的買買買，網(wǎng)購(gòu)物車?yán)锩娓鞣N加，這個(gè)時(shí)候彈出了你愛豆的新聞，那必須得關(guān)注，看一看你家愛豆是不是也要介紹一下另一半，于是就點(diǎn)擊連接進(jìn)去看了，你看的過程中，也許這個(gè)網(wǎng)站暗地里就做了些什么不可描述的事情！

比如說由于沒有同源策略的限制，它向某寶發(fā)起了請(qǐng)求！因?yàn)槟阍诘卿浤硨殨r(shí)“服務(wù)端驗(yàn)證通過后會(huì)在響應(yīng)頭加入Set-Cookie字段，然后下次再發(fā)請(qǐng)求的時(shí)候，瀏覽器會(huì)自動(dòng)將cookie附加在HTTP請(qǐng)求的頭字段Cookie中”，這樣一來，這個(gè)不法網(wǎng)站就相當(dāng)于登錄了你的賬號(hào)，可以為所欲為了！

針對(duì)Dom
假設(shè)一個(gè)場(chǎng)景需要用戶先填寫用戶名密碼等登錄信息進(jìn)行身份驗(yàn)證，才能進(jìn)行接下來的操作，當(dāng)你輸入用戶名密碼登錄成功后，你的賬號(hào)密碼就被盜了，那酸爽~~~
那這個(gè)釣魚網(wǎng)站做了什么呢？

    // HTML
    
    // JS
    // 由于沒有同源策略的限制，釣魚網(wǎng)站可以直接拿到別的網(wǎng)站的Dom
    let iframe = window.frames["qq"]
    let userInput = iframe.document.getElementById("賬號(hào)輸入框"),
        passInput = iframe.document.getElementById("密碼輸入框");
    
    //dom都拿到了，賬號(hào)和密碼不就是一件很容易的事情了么~~~

因此同源策略確實(shí)能規(guī)避一些危險(xiǎn)，不是說有了同源策略就安全，只是說同源策略是一種瀏覽器最基本的安全機(jī)制，畢竟能提高一點(diǎn)攻擊的成本。其實(shí)沒有刺不穿的盾，只是攻擊的成本和攻擊成功后獲得的利益成不成正比。

如果兩個(gè)頁(yè)面的協(xié)議，端口（如果有指定）和域名都相同，則兩個(gè)頁(yè)面具有相同的源。

同源的判定：
以http://www.example.com/dir/page.html為例，以下表格指出了不同形式的鏈接是否與其同源：（原因里未申明不同的屬性即說明其與例子里的原鏈接對(duì)應(yīng)的屬性相同）

主域名：由兩個(gè)或兩個(gè)以上的字母構(gòu)成，中間由點(diǎn)號(hào)隔開，整個(gè)域名只有1個(gè)點(diǎn)號(hào)，唯一的
子域名：是在主域名之下的域名，域名內(nèi)容會(huì)有多個(gè)點(diǎn)號(hào)

例如：https://www.baidu.com/
協(xié)議：https://
服務(wù)器名稱：www
主域名：baidu.com
子域名（子域名包括服務(wù)器名稱www + 主域名baidu.com）：www.baidu.com

目前常用的解決跨域問題的三種方式：

jsonp：只能發(fā)送GET請(qǐng)求
iframe + form
CORS:跨域資源共享(Cross-origin resource sharing);

在HTML標(biāo)簽里，一些標(biāo)簽比如script、img這樣的獲取資源的標(biāo)簽是沒有跨域限制的，利用這一點(diǎn)，我們可以這樣干：

由上可知JSNOP只能發(fā)送GET請(qǐng)求，不能發(fā)送POST，本質(zhì)上通過script標(biāo)簽去加載資源就是GET

看代碼

const requestPost = ({url, data}) => {
  // 首先創(chuàng)建一個(gè)用來發(fā)送數(shù)據(jù)的iframe.
  const iframe = document.createElement("iframe")
  iframe.name = "iframePost"
  iframe.style.display = "none"
  document.body.appendChild(iframe)
  const form = document.createElement("form")
  const node = document.createElement("input")
  // 注冊(cè)iframe的load事件處理程序,如果你需要在響應(yīng)返回時(shí)執(zhí)行一些操作的話.
  iframe.addEventListener("load", function () {
    console.log("post success")
  })

  form.action = url
  // 在指定的iframe中執(zhí)行form的action url
  form.target = iframe.name
  form.method = "post"
  for (let name in data) {
    node.name = name
    node.value = data[name].toString()
    form.appendChild(node.cloneNode())
  }
  // 表單元素需要添加到主文檔中.
  form.style.display = "none"
  document.body.appendChild(form)
  form.submit()

  // 表單提交后,就可以刪除這個(gè)表單,不影響下次的數(shù)據(jù)發(fā)送.
  document.body.removeChild(form)
}
// 使用方式
requestPost({
  url: "http://localhost:9871/api/iframePost",
  data: {
    msg: "helloIframePost"
  }
})

CORS全稱跨域資源共享(Cross-origin resource sharing)，該機(jī)制允許Web應(yīng)用服務(wù)器進(jìn)行跨域訪問控制，從而使跨域數(shù)據(jù)傳輸?shù)靡园踩M(jìn)行。瀏覽器支持在API容器中（例如XMLHttpRequest或Fetch）使用CORS，以降低跨域HTTP請(qǐng)求所帶來的風(fēng)險(xiǎn)。CORS需要客戶端和服務(wù)器同時(shí)支持，目前，所有瀏覽器都支持該機(jī)制（微企即采用這種方式）。

IE 10+ 提供了對(duì)規(guī)范的完整支持，但在較早版本（8 和 9）中，CORS機(jī)制是借由 XDomainRequest 對(duì)象完成的。

CORS規(guī)范要求，對(duì)那些可能對(duì)服務(wù)器數(shù)據(jù)產(chǎn)生副作用的HTTP請(qǐng)求方法（特別是GET以外的HTTP請(qǐng)求，或者搭配某些 MIME 類型的POST請(qǐng)求），瀏覽器必須首先使用OPTIONS方法發(fā)起一個(gè)預(yù)檢請(qǐng)求（preflight request），從而獲知服務(wù)端是否允許該跨域請(qǐng)求。服務(wù)器確認(rèn)允許之后，才發(fā)起實(shí)際的HTTP請(qǐng)求。在預(yù)檢請(qǐng)求的返回中，服務(wù)器端也可以通知客戶端，是否需要攜帶身份憑證（包括Cookies和HTTP認(rèn)證相關(guān)數(shù)據(jù)）。

整個(gè)CORS通信過程，都是瀏覽器自動(dòng)完成，不需要用戶參與。對(duì)于開發(fā)者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請(qǐng)求跨源，就會(huì)自動(dòng)添加一些附加的頭信息，有時(shí)還會(huì)多出一次附加的請(qǐng)求，但用戶不會(huì)有感覺。

因此，實(shí)現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了CORS接口，就可以跨源通信。

CORS標(biāo)準(zhǔn)允許在下列場(chǎng)景中使用跨域http請(qǐng)求：

由 XMLHttpRequest 或 Fetch 發(fā)起的跨域 HTTP 請(qǐng)求。

Web 字體 (CSS 中通過 @font-face 使用跨域字體資源), 因此，網(wǎng)站就可以發(fā)布 TrueType

字體資源，并只允許已授權(quán)網(wǎng)站進(jìn)行跨站調(diào)用。

WebGL 貼圖

使用 drawImage 將 Images/video 畫面繪制到 canvas

樣式表（使用 CSSOM）

Scripts (未處理的異常)

瀏覽器將CORS請(qǐng)求分成兩類：簡(jiǎn)單請(qǐng)求（simple request）和非簡(jiǎn)單請(qǐng)求（not-so-simple request）。

使用下列方法之一：
GET
HEAD
POST 

Fetch 規(guī)范定義了對(duì) CORS安全的首部字段集合，不得人為設(shè)置該集合之外的其他首部字段。該集合為：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type （需要注意額外的限制）

Content-Type 的值僅限于下列三者之一：

text/plain

multipart/form-data

application/x-www-form-urlencoded
只要同時(shí)滿足以下兩大條件，就屬于簡(jiǎn)單請(qǐng)求。

凡是不同時(shí)滿足上面兩個(gè)條件，就屬于非簡(jiǎn)單請(qǐng)求。
瀏覽器對(duì)這兩種請(qǐng)求的處理，是不一樣的。

對(duì)于簡(jiǎn)單請(qǐng)求，瀏覽器直接發(fā)出CORS請(qǐng)求。具體來說，就是在頭信息之中，增加一個(gè)Origin字段。
下面是一個(gè)例子，瀏覽器發(fā)現(xiàn)這次跨源AJAX請(qǐng)求是簡(jiǎn)單請(qǐng)求，就自動(dòng)在頭信息之中，添加一個(gè)Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中，Origin字段用來說明，本次請(qǐng)求來自哪個(gè)源（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個(gè)值，決定是否同意這次請(qǐng)求。

如果Origin指定的源，不在許可范圍內(nèi)，服務(wù)器會(huì)返回一個(gè)正常的HTTP回應(yīng)。瀏覽器發(fā)現(xiàn)，這個(gè)回應(yīng)的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文），就知道出錯(cuò)了，從而拋出一個(gè)錯(cuò)誤，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲。注意，這種錯(cuò)誤無法通過狀態(tài)碼識(shí)別，因?yàn)镠TTP回應(yīng)的狀態(tài)碼有可能是200。

如果Origin指定的域名在許可范圍內(nèi)，服務(wù)器返回的響應(yīng)，會(huì)多出幾個(gè)頭信息字段。

Access-Control-Allow-Origin: http://api.bob.com //必填
Access-Control-Allow-Credentials: true //非必填
Access-Control-Expose-Headers: FooBar //非必填
Content-Type: text/html; charset=utf-8

上面的頭信息之中，有三個(gè)與CORS請(qǐng)求相關(guān)的字段，都以Access-Control-開頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要么是請(qǐng)求時(shí)Origin字段的值，要么是一個(gè)*，表示接受任意域名的請(qǐng)求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送Cookie。默認(rèn)情況下，Cookie不包括在CORS請(qǐng)求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie可以包含在請(qǐng)求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie，刪除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請(qǐng)求時(shí)，XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader("FooBar")可以返回FooBar字段的值。

withCredentials 屬性
上面說到，CORS請(qǐng)求默認(rèn)不發(fā)送Cookie和HTTP認(rèn)證信息。如果要把Cookie發(fā)到服務(wù)器，一方面要服務(wù)器同意，指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另一方面，開發(fā)者必須在AJAX請(qǐng)求中打開withCredentials屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則，即使服務(wù)器同意發(fā)送Cookie，瀏覽器也不會(huì)發(fā)送。或者，服務(wù)器要求設(shè)置Cookie，瀏覽器也不會(huì)處理。

但是，如果省略withCredentials設(shè)置，有的瀏覽器還是會(huì)一起發(fā)送Cookie。這時(shí)，可以顯式關(guān)閉withCredentials。

xhr.withCredentials = false;

需要注意的是，如果要發(fā)送Cookie，Access-Control-Allow-Origin就不能設(shè)為星號(hào)，必須指定明確的、與請(qǐng)求網(wǎng)頁(yè)一致的域名。同時(shí)，Cookie依然遵循同源政策，只有用服務(wù)器域名設(shè)置的Cookie才會(huì)上傳，其他域名的Cookie并不會(huì)上傳，且（跨源）原網(wǎng)頁(yè)代碼中的document.cookie也無法讀取服務(wù)器域名下的Cookie。

2.1 預(yù)檢請(qǐng)求

非簡(jiǎn)單請(qǐng)求是那種對(duì)服務(wù)器有特殊要求的請(qǐng)求，比如請(qǐng)求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡(jiǎn)單請(qǐng)求的CORS請(qǐng)求，會(huì)在正式通信之前，增加一次HTTP查詢請(qǐng)求，稱為"預(yù)檢"請(qǐng)求（preflight）。

瀏覽器先詢問服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動(dòng)詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求，否則就報(bào)錯(cuò)。

下面是一段瀏覽器的JavaScript腳本。

var url = "http://api.alice.com/cors";
var xhr = new XMLHttpRequest();
xhr.open("PUT", url, true);
xhr.setRequestHeader("X-Custom-Header", "value");
xhr.send();

上面代碼中，HTTP請(qǐng)求的方法是PUT，并且發(fā)送一個(gè)自定義頭信息X-Custom-Header。

瀏覽器發(fā)現(xiàn)，這是一個(gè)非簡(jiǎn)單請(qǐng)求，就自動(dòng)發(fā)出一個(gè)"預(yù)檢"請(qǐng)求，要求服務(wù)器確認(rèn)可以這樣請(qǐng)求。下面是這個(gè)"預(yù)檢"請(qǐng)求的HTTP頭信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預(yù)檢"請(qǐng)求用的請(qǐng)求方法是OPTIONS，表示這個(gè)請(qǐng)求是用來詢問的。頭信息里面，關(guān)鍵字段是Origin，表示請(qǐng)求來自哪個(gè)源。

除了Origin字段，"預(yù)檢"請(qǐng)求的頭信息包括兩個(gè)特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來列出瀏覽器的CORS請(qǐng)求會(huì)用到哪些HTTP方法，上例是PUT。

（2）Access-Control-Request-Headers

該字段是一個(gè)逗號(hào)分隔的字符串，指定瀏覽器CORS請(qǐng)求會(huì)額外發(fā)送的頭信息字段，上例是X-Custom-Header。

2.2 預(yù)檢請(qǐng)求的回應(yīng)

服務(wù)器收到"預(yù)檢"請(qǐng)求以后，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，確認(rèn)允許跨源請(qǐng)求，就可以做出回應(yīng)。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回應(yīng)中，關(guān)鍵的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以請(qǐng)求數(shù)據(jù)。該字段也可以設(shè)為星號(hào)，表示同意任意跨源請(qǐng)求。

Access-Control-Allow-Origin: *

如果瀏覽器否定了"預(yù)檢"請(qǐng)求，會(huì)返回一個(gè)正常的HTTP回應(yīng)，但是沒有任何CORS相關(guān)的頭信息字段。這時(shí)，瀏覽器就會(huì)認(rèn)定，服務(wù)器不同意預(yù)檢請(qǐng)求，因此觸發(fā)一個(gè)錯(cuò)誤，被XMLHttpRequest對(duì)象的onerror回調(diào)函數(shù)捕獲。控制臺(tái)會(huì)打印出如下的報(bào)錯(cuò)信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務(wù)器回應(yīng)的其他CORS相關(guān)字段如下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗號(hào)分隔的一個(gè)字符串，表明服務(wù)器支持的所有跨域請(qǐng)求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次"預(yù)檢"請(qǐng)求。

（2）Access-Control-Allow-Headers

如果瀏覽器請(qǐng)求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請(qǐng)求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡(jiǎn)單請(qǐng)求時(shí)的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

2.3 瀏覽器的正常請(qǐng)求和回應(yīng)

一旦服務(wù)器通過了"預(yù)檢"請(qǐng)求，以后每次瀏覽器正常的CORS請(qǐng)求，就都跟簡(jiǎn)單請(qǐng)求一樣，會(huì)有一個(gè)Origin頭信息字段。服務(wù)器的回應(yīng)，也都會(huì)有一個(gè)Access-Control-Allow-Origin頭信息字段。

下面是"預(yù)檢"請(qǐng)求之后，瀏覽器的正常CORS請(qǐng)求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動(dòng)添加的。

下面是服務(wù)器正常的回應(yīng)。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中，Access-Control-Allow-Origin字段是每次回應(yīng)都必定包含的。

響應(yīng)首部中可以攜帶一個(gè) Access-Control-Allow-Origin 字段，其語(yǔ)法如下:

Access-Control-Allow-Origin:  | *

其中，origin 參數(shù)的值指定了允許訪問該資源的外域URI。對(duì)于不需要攜帶身份憑證的請(qǐng)求，服務(wù)器可以指定該字段的值為通配符，表示允許來自所有域的請(qǐng)求。

例如，下面的字段值將允許來自 http://mozilla.com 的請(qǐng)求：

Access-Control-Allow-Origin: http://mozilla.com

如果服務(wù)端指定了具體的域名而非“*”，那么響應(yīng)首部中的 Vary 字段的值必須包含 Origin。這將告訴客戶端：服務(wù)器對(duì)不同的源站返回不同的內(nèi)容。

JSONP只支持GET請(qǐng)求，CORS支持所有類型的HTTP請(qǐng)求。JSONP的優(yōu)勢(shì)在于支持老式瀏覽器，以及可以向不支持CORS的網(wǎng)站請(qǐng)求數(shù)據(jù)。

頁(yè)面可能會(huì)因某些限制而改變他的源。腳本可以將document.domain的值設(shè)置為其當(dāng)前域或其當(dāng)前域的超級(jí)域。如果將其設(shè)置為其當(dāng)前域的超級(jí)域，則較短的域?qū)⒂糜诤罄m(xù)源檢查。
假設(shè)http://store.company.com/dir/other.html文檔中的一個(gè)腳本執(zhí)行以下語(yǔ)句：

document.domain = "company.com";

這條語(yǔ)句執(zhí)行之后，頁(yè)面將會(huì)成功地通過對(duì)http://company.com/dir/page.html的同源檢測(cè)（假設(shè)http://company.com/dir/page.html將其document.domain設(shè)置為company.com，以表明它希望允許這樣做 - 更多有關(guān)信息，請(qǐng)參閱 document.domain）。然而，company.com不能設(shè)置document.domain為othercompany.com，因?yàn)樗皇?company.com 的超級(jí)域

通過添加cross-origin屬性即可解決getImageData，toDataURL跨域問題，具體參見canvas跨域