摘要：同源策略是處于對用戶安全的考慮，如果非同源就會受到以下限制不能讀取無法獲得請求不能發送但是事實是經常需要借助非同源來提供數據，所以就需要進行跨域請求。

注：本文完整示例地址
先來說一個概念就是同源，同源指的是協議，端口，域名全部相同。

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會受到影響。可以說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現。

同源策略是處于對用戶安全的考慮，如果非同源就會受到以下限制：

cookie不能讀取

dom無法獲得

ajax請求不能發送

但是事實是經常需要借助非同源來提供數據，所以就需要進行跨域請求。

JSONP是指JSON Padding，JSONP是一種非官方跨域數據交換協議，由于script的src屬性可以跨域請求，所以JSONP利用的就是瀏覽器的這個“漏洞”，需要通信時，動態的插入一個script標簽。請求的地址一般帶有一個callback參數，假設需要請求的地址為http://localhost:666?callback=show，服務端返回的代碼一般是show(數據)的JSON數據，而show函數恰恰是前臺需要用這個數據的函數。JSONP非常的簡單易用，自動補全API利用的就是JSONP，下面來看一個例子：

// 前端請求代碼
function jsonp (callback) {
    var script = document.createElement("script"),
        url = `http://localhost:666?callback=${callback}`;
    script.setAttribute("src", url);
    document.querySelector("head").appendChild(script);
}
function show (data) {
    console.log(`學生姓名為：${data.name}，年齡為：${data.age}，性別為${data.sex}`);
}
jsonp("show");
// 后端響應代碼
const student = {
    name: "zp1996",
    age: 20,
    sex: "male"
};
var callback = url.parse(req.url, true).query.callback;
res.writeHead(200, {
    "Content-Type": "application/json;charset=utf-8"
});
res.end(`${callback}(${JSON.stringify(student)})`);

JSONP雖說簡單易用，但是有一個很大問題，那就是JSONP只能進行get請求

CORS(跨域資源共享)是由W3C制定的跨站資源分享標準，可以讓AJAX實現跨域訪問。想要了解跨域的話，首先需要了解下簡單請求：

請求方式為GET或者POST

假若請求是POST的話，Content-Type必須為下列之一：

application/x-www-form-urlencoded

multipart/form-data

text/plain

不含有自定義頭（類似于segmentfault自定義的頭X-Hit）

對于簡單請求的跨域只需要進行一次http請求：

function ajaxPost (url, obj, header) {
    return new Promise((resolve, reject) => {
        var xhr = new XMLHttpRequest(),
        str = "",
        keys = Object.keys(obj);
      for (var i = 0, len = keys.length; i < len; i++) {
        str += `${keys[i]}=${obj[keys[i]]}&`;
      }
      str = str.substring(0, str.length - 1);
      xhr.open("post", url);
      xhr.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
      if (header instanceof Object) {
          for (var k in header) 
              xhr.setRequestHeader(k, header[k]);
      }
      xhr.send(str);
      xhr.onreadystatechange = function () {
        if (xhr.readyState === 4) {
          if (xhr.status >= 200 && xhr.status < 300 || xhr.status == 304) {
            resolve(xhr.responseText);
          } else {
            reject();
          }
        }
      }
    });
}
ajaxPost("http://localhost:666?page=cors", {
    name: "zp1996",
    age: 20,
    sex: "male"
})
.then((text) => { console.log(text); }, 
            () => { console.log("請求失敗"); });

// 后端處理
var postData = "";
// 注釋下，下面示例后臺代碼補充在此處
req.on("data", (data) => {
    postData += data;
});
req.on("end", () => {
    postData = querystring.parse(postData);
    res.writeHead(200, {
        "Access-Control-Allow-Origin": "*",
        "Content-Type": "application/json;charset=utf-8"
    });
    if (postData.name === student.name &&
        Number(postData.age) === student.age &&
        postData.sex === student.sex
         ) {
        res.end(`yeah！${postData.name} is a good boy~`);
    } else {
        res.end("No！a bad boy~");
    }
});

打開控制臺觀察可以發現，Network只是發出了一次請求，但是對于非簡單請求來說，需要兩次http請求，在真正的請求之前需要進行一次預請求，下圖是進行一次預請求的請求/響應：

觀察響應頭，可以發現需要多出了兩個響應頭：

Access-Control-Allow-Headers，用來指明在實際的請求中，可以使用那些自定義的http請求頭。

Access-Control-Max-Age，用來指定此次預請求的結果的有效期，在有效期內則不會發出預請求，有點像緩存的感覺。

當然還有諸如好多這樣的響應頭，請大家自行搜索了解，這里就不再過多介紹，下面來看下對于非簡單請求跨域的代碼處理：

// 前端請求代碼
ajaxPost("http://localhost:666?page=cors", {
    name: "zp1996",
    age: 20,
    sex: "male"
}, { "X-author": "zp1996" })
.then((text) => { console.log(text); }, 
            () => { console.log("請求失敗"); });

// 后端處理，補充在簡單請求代碼注釋處
if (req.method === "OPTIONS") {
    res.writeHead(200, {
        "Access-Control-Max-Age": 3000,
        "Access-Control-Allow-Origin": "*",
        "Access-Control-Allow-Headers": "X-author",
        "Content-Type": "application/json;charset=utf-8"
    });    
    res.end();
    return void 0;        
} 

既然可以利用script的“漏洞”來進行JSONP跨域，那么是不是也可以利用css樣式寫可以進行跨域請求來進行跨域呢？答案肯定是yes，利用css還有一個好處那就是，當被注入攻擊腳本時，css盡管被注入，也不會引起什么大的安全問題，頂多也就是把頁面的樣式給改變，而js被注入的話，cookie就有可能被盜取等一系列安全問題出現。大牛已經將其做的非常完善，大家可以去star王集鵠（zswang）CSST，這里我就把我所理解給大家簡單的分享下：

// 前端代碼
const id = "csst",
    ele = document.querySelector(`#${id}`),
    head = document.querySelector("head");
function getStyle (ele, prop) {
    return getComputedStyle(ele, "").getPropertyValue(prop);
}
function loadCss (url) {
    return new Promise((resolve) => {
        const link = document.createElement("link");
         link.setAttribute("rel", "stylesheet");
        link.setAttribute("type", "text/css");
        link.setAttribute("href", url);
        ele.addEventListener("webkitAnimationStart", function () {
            resolve(getStyle(ele, "content"));
        });
        head.appendChild(link);
    });
}
loadCss(`http://localhost:666?page=data.css&id=${id}`).then((data) => {
    console.log(data);
});

// 后端代碼
function cssData (id) {
    return `
        @keyframes a{
            from{

            }
            to{
                color: red;
            }
        }
        #${id} {
            content: "這種是很好，但是只能傳輸文本啊";
            animation: a 2s;
        }
    `;
}
res.writeHead(200, {
    "Content-Type": "text/css"
});
res.end(cssData(query.id));

通過代碼可以看出這種實現方式是靠元素的content來拿接收到的數據，所以傳輸的只能是文本。至于為什么要返回動畫？是因為不利用動畫，無法來對css腳本加載進行監測，也就無法進行回調（由于谷歌/火狐不支持link的onload和onreadychange，所以利用animationstart事件）。

window.postMessage 是一個安全的跨源通信的方法。一般情況下，當且僅當執行腳本的頁面使用相同的協議（通常都是 http）、相同的端口（http默認使用80端口）和相同的 host（兩個頁面的 document.domain 的值相同）時，才允許不同頁面上的腳本互相訪問。 window.postMessage 提供了一個可控的機制來安全地繞過這一限制，當其在正確使用的情況下。

window.postMessage解決的不是瀏覽器與服務器之間的交互，解決的是瀏覽器不同的窗口之間的通信問題，可以做的就是同步兩個網頁，當然這兩個網頁應該是屬于同一個基礎域名。

// 發送端代碼
var domain = "http://localhost",
    index = 1,
    target = window.open(`${domain}/postmessage-target.html`);
function send () {
    setInterval(() => {
        target.postMessage(`第${index++}次數據發送`, domain);
    }, 1000);
}
send();
// 接受端代碼
沒有數據過來啊

上述代碼實現了向一個頁面向另一個發送數據，但是這么寫往往有著一些“危險”，需要知道的是，postMessage是向document對象中，網絡連接有時會很慢，可能會出現些問題，所以最好的方式是接受頁面已經開始加載了，這時發送一個消息給發送端，發送端在開始向接收端發送數據。改進下：

// 發送端添加代碼
window.addEventListener("message", (e) => {
    if (e.data === "ok")
        send();
    else 
        console.log(e.data);
});

// 接受端的head里面加上script標簽

window.name 的美妙之處：name 值在不同的頁面（甚至不同域名）加載后依舊存在，并且可以支持非常長的 name 值（2MB）

這個方式我基本上沒有用過，所以沒有過多的發言權，大家想了解這個技術的話，可以通過懌飛（圓心）：使用 window.name 解決跨域問題，圓心大神解釋的非常透徹。

將子域和主域的document.domain設為同一個主域
前提條件：

這兩個域名必須屬于同一個基礎域名

而且所用的協議，端口都要一致，否則無法利用document.domain進行跨域