前端跨域

为了保证用户信息的安全，防止恶意的网站窃取数据。浏览器有同源策略，对资源访问做出了限制：
（1） Cookie、LocalStorage 和 IndexDB 无法读取。

（2） DOM 无法获得。

（3） AJAX 请求不能发送。
要解除这些限制，需要进行跨域，先来了解一些小知识：
（1） script标签、link标签、img标签的请求不受同源策略的限制
（2）同源策略只在浏览器环境有，node，安卓，ios，java等环境都没有
（3）跨域了的请求不是发不出去，服务器可以正常返回结果，只是被浏览器拦截了。
总结一下比较常用的几个跨域的方法：

JSONP

总的来说就是利用 script 标签不受限制的特点，通过动态创建 script 标签，将跨域资源的路径放在 src 路径里，同时定义好一个回调函数，将这个回调函数的函数名拼接在URL里，然后将这个 script 标签插入页面中，script 标签就会去请求路径资源，后端接收到请求，返回一个回调函数的调用，并返回数据："回调函数名(data)" ，前端接收到这个"回调函数的调用"，就会去调用自己已经定义好的回调函数。
贴一下前端代码：

// 定义回调函数
var callback1 = function(data){
  alert(data);
};
// 提供jsonp服务的url地址（不管是什么类型的地址，最终生成的返回值都是一段javascript代码，即回调函数的执行）
var url = "http://xxx.com?callback=callback1";
// 创建script标签，设置其属性
var script = document.createElement('script');
script.setAttribute('src', url);
// 把script标签插入页面
document.getElementsByTagName('head')[0].appendChild(script); 

// 后端只需识别到这个 url 的请求，返回这个回调函数的调用的 js 代码，带上数据即可
//...
response.write(`callback.call(undefined,data)`)

总结一下JSONP的实现：
客户端：

1. 定义获取数据后调用的回调函数
2. 动态生成 script 标签，并设置其 src 的 url 为提供 jsonp 服务的 url 地址，并在该 url 中设置相关回调函数参数
3. 将 script 标签插入页面

服务端：
将客户端发送的callback参数作为函数名来包裹住JSON数据，返回数据至客户端。

jQuery、axios 中都实现了对JSONP的封装，但原理大抵相同。
但 JSONP 有一个致命的缺点：请求的方法只能是 "GET"

CORS

一种比较常用的跨域解决方案，只需后端设置

Access-Control-Allow-Origin: *

此时，所有外域都可以访问直接访问这个域了，网上的公共接口便是这样做的。
如果只想对指定的域开放：

Access-Control-Allow-Origin: http://foo.example

现在，除了 http://foo.example，其它外域均不能访问该资源

代理

前端在请求外域资源时，用一个指定的同源的路径，前端需要访问外域资源时，去访问这个同源的路径，客户端nginx拦截代码中虚假的http请求，替换成正确的http