1、同源策略
出于安全方面的考虑,为了保证用户信息的安全,防止恶意的网站盗取数据,不允许跨域调用其他页面的对象。
2、同源
1) 协议相同
2) 域名相同
3) 端口相同
| 域名一 | 域名二 | 是否允许通信 |
| http://www.domain.com/a.html |
http://www.domain.com/b.html |
同一域名,允许通信 |
| http://www.domain.com/main/a.html |
http://www.domain.com/rest/b.html |
同一域名,不同文件夹,允许通信 |
| http://www.domain.com:8000/a.html |
http://www.domain.com/b.html |
同一域名,不同端口,不允许通信 |
| http://www.domain.com/a.html |
https://www.domain.com/b.html |
同一域名,不同协议,不允许通信 |
| http://www.domain.com/a.html |
http://10.3.8.211/b.html |
域名和域名对应IP 不允许通信 |
| http://www.domain.com/a.html |
http://suzy.domain.com/b.html |
相同主域,不同二级域名,不允许通信 |
| http://www.domain.com/a.html |
http://domain.com/b.html |
相同主域,不同二级域名,不允许通信 |
| http://www.domain.com/a.html |
http://www.suzy.com/b.html |
不同域名,不允许通信 |
注意:<script>标签的src属性不被同源策略所约束,所以可以获取任何服务器上的JS脚本并执行。
3、非同源时受限的三种行为
1) cookie、localStorage无法获取。
2) DOM无法获取。
3) AJAX请求不能发送。
4、JavaScript跨域解决方案
跨域获取Cookie:http://blog.csdn.net/zhouziyu2011/article/details/61200943
跨域获取localStorage:http://blog.csdn.net/zhouziyu2011/article/details/61209268
跨域获取DOM:http://blog.csdn.net/zhouziyu2011/article/details/61414403
跨域获取Ajax请求:http://blog.csdn.net/zhouziyu2011/article/details/53057480