摘要：跨域整理跨域資源共享對于開發來講，由于瀏覽器的同源策略，我們需要經常使用一些的方法去跨域獲取資源，但是的方法總歸是。這樣就能根據之前寫好的回調函數處理這些數據了。

對于web開發來講，由于瀏覽器的同源策略，我們需要經常使用一些hack的方法去跨域獲取資源，但是hack的方法總歸是hack。直到W3C出了一個標準－CORS－"跨域資源共享"（Cross-origin resource sharing）。
它允許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。
首先來說 CORS 需要瀏覽器和服務端同時支持的，對于兼容性來說主要是ie10+，其它現代瀏覽器都是支持的。
http://caniuse.com/#feat=cors

使用 CORS 跨域的時候其實和普通的 ajax 過程是一樣的，只是瀏覽器在發現這是一個跨域請求的時候會自動幫我們處理一些事，比如驗證等等，所以說只要服務端提供支持，前端是不需要做額外的事情的。

CORS 的請求分兩種，這也是瀏覽器為了安全做的一些處理，不同情況下瀏覽器執行的操作也是不一樣的，主要分為兩種請求，當然這一切我們是不需要做額外處理的，瀏覽器會自動處理的。

只要同時滿足以下兩大條件，就屬于簡單請求。

條件

1) 請求方法是以下三種方法中的一個：
HEAD
GET
POST
2）HTTP的頭信息不超出以下幾種字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

過程

對于簡單的跨域請求，瀏覽器會自動在請求的頭信息加上 Origin 字段，表示本次請求來自哪個源（協議 + 域名 + 端口），服務端會獲取到這個值，然后判斷是否同意這次請求并返回。

// 請求
GET /cors HTTP/1.1
Origin: http://api.qiutc.me
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

1.服務端允許

如果服務端許可本次請求，就會在返回的頭信息多出幾個字段：

// 返回
Access-Control-Allow-Origin: http://api.qiutc.me
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Info
Content-Type: text/html; charset=utf-8

這三個帶有 Access-Control 開頭的字段分別表示：

Access-Control-Allow-Origin
必須。它的值是請求時Origin字段的值或者 *，表示接受任意域名的請求。

Access-Control-Allow-Credentials；
可選。它的值是一個布爾值，表示是否允許發送Cookie。默認情況下，Cookie不包括在CORS請求之中。設為true，即表示服務器明確許可，Cookie可以包含在請求中，一起發給服務器。

再需要發送cookie的時候還需要注意要在AJAX請求中打開withCredentials屬性：var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
需要注意的是，如果要發送Cookie，Access-Control-Allow-Origin就不能設為*，必須指定明確的、與請求網頁一致的域名。同時，Cookie依然遵循同源政策，只有用服務器域名設置的Cookie才會上傳，其他域名的Cookie并不會上傳，且原網頁代碼中的document.cookie也無法讀取服務器域名下的Cookie。

Access-Control-Expose-Headers
可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader("Info")可以返回Info字段的值。

2.服務端拒絕

當然我們為了防止接口被亂調用，需要限制源，對于不允許的源，服務端還是會返回一個正常的HTTP回應，但是不會帶上 Access-Control-Allow-Origin 字段，瀏覽器發現這個跨域請求的返回頭信息沒有該字段，就會拋出一個錯誤，會被 XMLHttpRequest 的 onerror 回調捕獲到。
這種錯誤無法通過 HTTP 狀態碼判斷，因為回應的狀態碼有可能是200

條件

出了簡單請求以外的CORS請求。
非簡單請求是那種對服務器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

過程

1）預檢請求

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。
瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。
預檢請求的發送請求：

OPTIONS /cors HTTP/1.1
Origin: http://api.qiutc.me
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.qiutc.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預檢"請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。頭信息里面，關鍵字段是Origin，表示請求來自哪個源。
除了Origin字段，"預檢"請求的頭信息包括兩個特殊字段。

Access-Control-Request-Method
該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。

Access-Control-Request-Headers
該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發送的頭信息字段，上例是X-Custom-Header。

預檢請求的返回：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.qiutc.me
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

Access-Control-Allow-Methods
必需，它的值是逗號分隔的一個字符串，表明服務器支持的所有跨域請求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請求的那個方法。這是為了避免多次"預檢"請求。

Access-Control-Allow-Headers
如果瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串，表明服務器支持的所有頭信息字段，不限于瀏覽器在"預檢"中請求的字段。

Access-Control-Max-Age
該字段可選，用來指定本次預檢請求的有效期，單位為秒。上面結果中，有效期是20天（1728000秒），即允許緩存該條回應1728000秒（即20天），在此期間，不用發出另一條預檢請求。

2）瀏覽器的正常請求和回應

一旦服務器通過了"預檢"請求，以后每次瀏覽器正常的CORS請求，就都跟簡單請求一樣，會有一個Origin頭信息字段。服務器的回應，也都會有一個Access-Control-Allow-Origin頭信息字段。

參考：[《跨域資源共享 CORS 詳解》]()http://www.ruanyifeng.com/blog/2016/04/cors.html
)
阮大神的文章，復制粘貼了不少。

jsonp = json + padding
其實對于常用性來說，jsonp應該是使用最經常的一種跨域方式了，他不受瀏覽器兼容性的限制。但是他也有他的局限性，只能發送 GET 請求，需要服務端和前端規定好，寫法丑陋。
它的原理在于瀏覽器請求 script 資源不受同源策略限制，并且請求到 script 資源后立即執行。
主要做法是這樣的：

在瀏覽器端：
首先全局注冊一個callback回調函數，記住這個函數名字（比如：resolveJson），這個函數接受一個參數，參數是期望的到的服務端返回數據，函數的具體內容是處理這個數據。

然后動態生成一個 script 標簽，src 為：請求資源的地址＋獲取函數的字段名＋回調函數名稱，這里的獲取函數的字段名是要和服務端約定好的，是為了讓服務端拿到回調函數名稱。（如：www.qiute.com?callbackName=resolveJson）。

function resolveJosn(result) {
    console.log(result.name);
}
var jsonpScript= document.createElement("script");
jsonpScript.type = "text/javascript";
jsonpScript.src = "http://www.qiute.com?callbackName=resolveJson";
document.getElementsByTagName("head")[0].appendChild(jsonpScript);

服務端
在接受到瀏覽器端 script 的請求之后，從url的query的callbackName獲取到回調函數的名字，例子中是resolveJson。

然后動態生成一段javascript片段去給這個函數傳入參數執行這個函數。比如：

resolveJson({name: "qiutc"});

執行
服務端返回這個 script 之后，瀏覽器端獲取到 script 資源，然后會立即執行這個 javascript，也就是上面那個片段。這樣就能根據之前寫好的回調函數處理這些數據了。

在一些第三方庫往往都會封裝jsonp的操作，比如 jQuery 的$.getJSON。

一個頁面框架（iframe／frame）之間（父子或同輩），是能夠獲取到彼此的window對象的，但是這個 window 不能拿到方法和屬性（尼瑪這有什么用，甩臉）。

// 當前頁面域名 http://blog.qiutc.me/a.html

// iframe 里面的頁面

window對象有個name屬性，該屬性有個特征：即在一個窗口(window)的生命周期內,窗口載入的所有的頁面都是共享一個 window.name 的，每個頁面對 window.name 都有讀寫的權限，window.name 是持久存在一個窗口載入過的所有頁面中的，并不會因新頁面的載入而進行重置。
比如有一個www.qiutc.me/a.html頁面，需要通過a.html頁面里的js來獲取另一個位于不同域上的頁面www.qiutc.com/data.html里的數據。
data.html頁面里的代碼很簡單，就是給當前的window.name設置一個a.html頁面想要得到的數據值。data.html里的代碼：

那么在 a.html 頁面中，我們怎么把 data.html 頁面載入進來呢？顯然我們不能直接在 a.html 頁面中通過改變 window.location 來載入data.html頁面（這簡直扯蛋）因為我們想要即使 a.html 頁面不跳轉也能得到 data.html 里的數據。
答案就是在 a.html 頁面中使用一個隱藏的 iframe 來充當一個中間人角色，由 iframe 去獲取 data.html 的數據，然后 a.html 再去得到 iframe 獲取到的數據。
充當中間人的 iframe 想要獲取到data.html的通過window.name設置的數據，只需要把這個iframe的src設為www.qiutc.com/data.html就行了。然后a.html想要得到iframe所獲取到的數據，也就是想要得到iframe的window.name的值，還必須把這個iframe的src設成跟a.html頁面同一個域才行，不然根據前面講的同源策略，a.html是不能訪問到iframe里的window.name屬性的。這就是整個跨域過程。

// a.html



  
  
  


  

// b 頁面

一種用 CSS 跨域傳輸文本的方案。
優點：相比 JSONP 更為安全，不需要執行跨站腳本。
缺點：沒有 JSONP 適配廣，CSST 依賴支持 CSS3 的瀏覽器。
原理：通過讀取 CSS3 content 屬性獲取傳送內容。
具體可以參考：CSST (CSS Text Transformation)

flash 嘛，這個東西注定滅亡，不想說了。。。