JSONP_跨域

题目1： 什么是同源策略

• 浏览器出于安全方面的考虑，只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方的资源。

• 本域指的是？
  同协议：如都是http,https,file,ssh,mailto,tel
  同域名(在//后到第一个/之间)：
  如都是http://jirengu.com/a 和http://jirengu.com/b
  同端口：如都是80端口
  如：http://jirengu.com/a/b.js 和 http://jirengu.com/index.php (同源)

• 不同源的例子：
  http://jirengu.com/main.js 和 https://jirengu.com/a.php (协议不同)
  http://jirengu.com/main.js 和 http://bbs.jirengu.com/a.php (域名不同，域名必须完全相同才可以)
  http://jiengu.com/main.js 和 http://jirengu.com:8080/a.php (端口不同,第一个是80)

• 需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要，重要的是加载该 JS 页面所在什么域与JS中加载数据的域是否相同

---

题目2： 什么是跨域？跨域有几种实现形式

• 什么是跨域？
  允许不同域的接口进行交互

• 跨域有几种实现形式

1. JSONP(实际就是以加载js的方式,执行拿到不同域名中的数据)
2. CORS(后端设置后端会添加一个响应头：Access-Control-Allow-Origin.设置允许访问的域名)
3. 降域(几个域名相同的一部分)
4. postMessage(用于iframe,在parent的html中获取iframe,发消息,在iframe的html中监听)

---

题目3： JSONP 的原理是什么

后端将数据转换成js代码的格式,前端通过script标签接收来自后端的js代码再与前端已有的js代码一起运行实现跨域获取数据

---

题目4： CORS是什么

前端用 XMLHttpRequest 跨域访问时，浏览器会在请求头中添加：origin.后端会添加一个响应头：Access-Control-Allow-Origin浏览器判断该相应头中Access-Control-Allow-Origin的值是否包含 Origin 的值，如果有则浏览器会处理响应，我们就可以拿到响应数据，如果不包含浏览器直接驳回，这时我们无法拿到响应数据。

---

题目5： 根据视频里的讲解演示三种以上跨域的解决方式

JSONP跨域

• a.html代码

• router.js代码

app.get('/alert', function(req, res) {

    var call = req.query.callBack
    var data = 'JSONP-跨域';
    res.send(call+'('+JSON.stringify(data)+')');
});

CORS跨域

• a.html代码

• router.js代码

app.get('/alert', function(req, res) {

    var data = 'CORS-跨域';
    res.header("Access-Control-Allow-Origin", "http://gaoyang1:8080");
    res.send(JSON.stringify(data));
});

降域(1.首先必须是有相同的一部分,2.相同的一部分必须域名的最后一部分3.降域的域名不能只有一个顶级域名)

• a.html代码

• b.html代码

postmessage

• a.html代码

• b.html代码