同源策略

是一种约定，他是浏览器最核心也是最基本的安全功能。

两个页面拥有相同的协议、端口、和主机那么这两个页面就属于同源，当然了IE有例外

在同源策略中有一个例外，脚本可以设置 document.domain 的值为当前域的一个后缀，如果这样做的话，短的域将作为后续同源检测的依据。例如，假设在 http://store.company.com/dir/other.html 中的一个脚本执行了下列语句：

document.domain = "company.com";

这条语句执行之后，页面将会成功地通过对 http://company.com/dir/page.html 的同源检测。

使用document.domain是让子域访问其父域，需要同时将子域和父域的document.domain设置为相同的值。必须要这么做，即使是简单的将父域设置为其原来的值。没有这么做的话可能导致授权错误。

跨域内嵌的资源

简单请求，只需要设置 Access-Control-Allow-Origin: *
预请求
附带凭证信息的请求xml.withCredentials = true;如果服务器端的响应中，如果没有返回Access-Control-Allow-Credentials: true的响应头，那么浏览器将不会把响应结果传递给发出请求的脚步程序，以保证信息的安

参考资料

iframe.contentWindow, window.parent, window.open, window.opener 允许文档之间相互引用，当两个文档的源不同时，这些引用方式将受到影响。可使用 window.postMessage 作为替代方案。
localStorage 和 indexedDB 每个源拥有单独空间，不能跨域做读写操作。
window.name 属性可以用来临时存储数据，支持跨域访问。
Cookies使用不同的源定义方式。一个页面可以为本域和任何父域设置cookie，只要是父域不是公共后缀（public suffix）即可。Firefox和Chrome使用Public Suffix List决定一个域是否是一个公共后缀（public suffix）。不管使用哪个协议（HTTP/HTTPS）或端口号，浏览器都允许给定的域以及其任何子域名(sub-domains)来访问cookie。设置cookie时，你可以使用Domain，Path，Secure，和Http-Only标记来限定其访问性。读取cookie时，不会知晓它的出处。尽管使用安全的https连接，任何可见的cookie都是使用不安全的连接设置的。