同源策略、跨域、jsonp

一、问答题

1. 什么是同源策略

（1）含义：1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政策。
最初，它的含义是指，A网页设置的 Cookie，B网页不能打开，除非这两个网页“同源”。所谓“同源”指的是”三个相同“。

1.协议相同
2.域名相同
3.端口相同

（2）目的：同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。
（3）限制范围：随着互联网的发展，“同源政策”越来越严格。目前，如果非同源，共有三种行为受到限制。

1.Cookie、LocalStorage 和 IndexedDB 无法读取。
2.DOM 无法获得。
3.AJAX 请求不能发送。

2. 什么是跨域？跨域有几种实现形式

（1）神马是跨域（Cross Domain）?
说白点就是post、get的url不是你当前的网站，域名不同。例如在aaa.com/a.html里面，表单的提交action是bbb.com/b.html。
不仅如此，www.aaa.com和aaa.com之间也属于跨域，因为www.aaa.com是二级域名，aaa.com是根域名。
JavaScript出于安全方面的考虑，是不允许跨域调用其他页面的对象的（同源策略 Same-Origin Policy）。

![Uploading 20111112120822363_491068.gif . . .]

20111112120822363.gif

关于JavaScript能否跨域通信的详细说明，见下表：
http://www.a.com/a.js访问以下URL的结果

URL	说明	是否允许通信
http://www.a.com/b.js	同一域名下	允许
http://www.a.com/script/b.js	同一域名下不同文件	允许
http://www.a.com:8000/b.js	同一域名，不同端口	不允许
https://www.a.com/b.js	同一域名，不同协议	不允许
http://70.32.92.74/b.js	域名和域名对应IP	不允许
http://script.a.com/b.js	主域相同子域不同	不允许
http://a.com/b.js	同一域名，不同二级域名	不允许
http://www.b.com/b.js	不同域名	不允许

（2）跨域的实现形式

• JSONP：JSONP (JSON with Padding)是一个简单高效的跨域方式，html中的script标签可以加载并执行其他域的JavaScript，于是我们可以通过script标记来动态加载其他域的资源。例如我要从域A的页面pageA加载域B的数据，那么在域B的页面pageB中我以JavaScript的形式声明pageA需要的数据，然后在pageA中用script标签把pageB加载进来，那么pageB中的脚本就会得以执行。JSONP在此基础上加入了回调函数，pageB加载完之后会执行pageA中定义的函数，所需要的数据会以参数的形式传递给该函数。JSONP易于实现，但是也会存在一些安全隐患，如果第三方的脚本随意地执行，那么它就可以篡改页面内容，截获敏感数据。但是在受信任的双方传递数据，JSONP是非常合适的选择。

• window.name：window对象的name属性是一个很特别的属性，当该window的location变化，然后重新加载，它的name属性可以依然保持不变。那么我们可以在页面A中用iframe加载其他域的页面B，而页面B中用JavaScript把需要传递的数据赋值给window.name，iframe加载完成之后，页面A修改iframe的地址，将其变成同域的一个地址，然后就可以读出window.name的值了。这个方式非常适合单向的数据请求，而且协议简单、安全。不会像JSONP那样不做限制地执行外部脚本。

• document.domain：通过修改document的domain属性，我们可以在域和子域或者不同的子域之间通信。同域策略认为域和子域隶属于不同的域，比如www.a.com和sub.a.com是不同的域，这时，我们无法在www.a.com下的页面中调用sub.a.com中定义的JavaScript方法。但是当我们把它们document的domain属性都修改为a.com，浏览器就会认为它们处于同一个域下，那么我们就可以互相调用对方的method来通信了。

• window.postMessage：window.postMessage是html5定义的一个很新的方法，这个方法可以很方便地跨window通信。由于它是一个很新的方法，所以在很旧和比较旧的浏览器中都无法使用。

• CORS：CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。
  整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。
  因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

3. jsonp 的原理是什么

• 原理：
  1、浏览器的同源策略把跨域请求都禁止了；
  2、HTML的