摘要：為什么有跨域問題因為瀏覽器的同源策略，導致了跨域問題的出現(xiàn)。一同源策略什么是同源策略同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。為什么需要同源策略出于安全原因，瀏覽器限制從腳本內(nèi)發(fā)起的跨源請求。

為什么有跨域問題

因為瀏覽器的同源策略，導致了跨域問題的出現(xiàn)。

同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用于隔離潛在惡意文件的重要安全機制。

出于安全原因，瀏覽器限制從腳本內(nèi)發(fā)起的跨源HTTP請求。 例如XMLHttpRequest遵循同源策略。 這意味著使用這些API的Web應(yīng)用程序只能從加載應(yīng)用程序的同一個域請求HTTP資源，除非使用CORS頭文件或其他跨域方法。

沒有同源策略的兩大安全隱患：

針對接口請求
常見的場景為：cookie獲取，CSRF攻擊：(Cross-site request forgery)跨站請求偽造

One Day，當你興致勃勃在某寶上準備雙11的買買買，網(wǎng)購物車里面各種加，這個時候彈出了你愛豆的新聞，那必須得關(guān)注，看一看你家愛豆是不是也要介紹一下另一半，于是就點擊連接進去看了，你看的過程中，也許這個網(wǎng)站暗地里就做了些什么不可描述的事情！

比如說由于沒有同源策略的限制，它向某寶發(fā)起了請求！因為你在登錄某寶時“服務(wù)端驗證通過后會在響應(yīng)頭加入Set-Cookie字段，然后下次再發(fā)請求的時候，瀏覽器會自動將cookie附加在HTTP請求的頭字段Cookie中”，這樣一來，這個不法網(wǎng)站就相當于登錄了你的賬號，可以為所欲為了！

針對Dom
假設(shè)一個場景需要用戶先填寫用戶名密碼等登錄信息進行身份驗證，才能進行接下來的操作，當你輸入用戶名密碼登錄成功后，你的賬號密碼就被盜了，那酸爽~~~
那這個釣魚網(wǎng)站做了什么呢？

    // HTML
    
    // JS
    // 由于沒有同源策略的限制，釣魚網(wǎng)站可以直接拿到別的網(wǎng)站的Dom
    let iframe = window.frames["qq"]
    let userInput = iframe.document.getElementById("賬號輸入框"),
        passInput = iframe.document.getElementById("密碼輸入框");
    
    //dom都拿到了，賬號和密碼不就是一件很容易的事情了么~~~

因此同源策略確實能規(guī)避一些危險，不是說有了同源策略就安全，只是說同源策略是一種瀏覽器最基本的安全機制，畢竟能提高一點攻擊的成本。其實沒有刺不穿的盾，只是攻擊的成本和攻擊成功后獲得的利益成不成正比。

如果兩個頁面的協(xié)議，端口（如果有指定）和域名都相同，則兩個頁面具有相同的源。

同源的判定：
以http://www.example.com/dir/page.html為例，以下表格指出了不同形式的鏈接是否與其同源：（原因里未申明不同的屬性即說明其與例子里的原鏈接對應(yīng)的屬性相同）

主域名：由兩個或兩個以上的字母構(gòu)成，中間由點號隔開，整個域名只有1個點號，唯一的
子域名：是在主域名之下的域名，域名內(nèi)容會有多個點號

例如：https://www.baidu.com/
協(xié)議：https://
服務(wù)器名稱：www
主域名：baidu.com
子域名（子域名包括服務(wù)器名稱www + 主域名baidu.com）：www.baidu.com

目前常用的解決跨域問題的三種方式：

jsonp：只能發(fā)送GET請求
iframe + form
CORS:跨域資源共享(Cross-origin resource sharing);

在HTML標簽里，一些標簽比如script、img這樣的獲取資源的標簽是沒有跨域限制的，利用這一點，我們可以這樣干：

由上可知JSNOP只能發(fā)送GET請求，不能發(fā)送POST，本質(zhì)上通過script標簽去加載資源就是GET

看代碼

const requestPost = ({url, data}) => {
  // 首先創(chuàng)建一個用來發(fā)送數(shù)據(jù)的iframe.
  const iframe = document.createElement("iframe")
  iframe.name = "iframePost"
  iframe.style.display = "none"
  document.body.appendChild(iframe)
  const form = document.createElement("form")
  const node = document.createElement("input")
  // 注冊iframe的load事件處理程序,如果你需要在響應(yīng)返回時執(zhí)行一些操作的話.
  iframe.addEventListener("load", function () {
    console.log("post success")
  })

  form.action = url
  // 在指定的iframe中執(zhí)行form的action url
  form.target = iframe.name
  form.method = "post"
  for (let name in data) {
    node.name = name
    node.value = data[name].toString()
    form.appendChild(node.cloneNode())
  }
  // 表單元素需要添加到主文檔中.
  form.style.display = "none"
  document.body.appendChild(form)
  form.submit()

  // 表單提交后,就可以刪除這個表單,不影響下次的數(shù)據(jù)發(fā)送.
  document.body.removeChild(form)
}
// 使用方式
requestPost({
  url: "http://localhost:9871/api/iframePost",
  data: {
    msg: "helloIframePost"
  }
})

CORS全稱跨域資源共享(Cross-origin resource sharing)，該機制允許Web應(yīng)用服務(wù)器進行跨域訪問控制，從而使跨域數(shù)據(jù)傳輸?shù)靡园踩M行。瀏覽器支持在API容器中（例如XMLHttpRequest或Fetch）使用CORS，以降低跨域HTTP請求所帶來的風險。CORS需要客戶端和服務(wù)器同時支持，目前，所有瀏覽器都支持該機制（微企即采用這種方式）。

IE 10+ 提供了對規(guī)范的完整支持，但在較早版本（8 和 9）中，CORS機制是借由 XDomainRequest 對象完成的。

CORS規(guī)范要求，對那些可能對服務(wù)器數(shù)據(jù)產(chǎn)生副作用的HTTP請求方法（特別是GET以外的HTTP請求，或者搭配某些 MIME 類型的POST請求），瀏覽器必須首先使用OPTIONS方法發(fā)起一個預(yù)檢請求（preflight request），從而獲知服務(wù)端是否允許該跨域請求。服務(wù)器確認允許之后，才發(fā)起實際的HTTP請求。在預(yù)檢請求的返回中，服務(wù)器端也可以通知客戶端，是否需要攜帶身份憑證（包括Cookies和HTTP認證相關(guān)數(shù)據(jù)）。

整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。對于開發(fā)者來說，CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源，就會自動添加一些附加的頭信息，有時還會多出一次附加的請求，但用戶不會有感覺。

因此，實現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實現(xiàn)了CORS接口，就可以跨源通信。

CORS標準允許在下列場景中使用跨域http請求：

由 XMLHttpRequest 或 Fetch 發(fā)起的跨域 HTTP 請求。

Web 字體 (CSS 中通過 @font-face 使用跨域字體資源), 因此，網(wǎng)站就可以發(fā)布 TrueType

字體資源，并只允許已授權(quán)網(wǎng)站進行跨站調(diào)用。

WebGL 貼圖

使用 drawImage 將 Images/video 畫面繪制到 canvas

樣式表（使用 CSSOM）

Scripts (未處理的異常)

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

使用下列方法之一：
GET
HEAD
POST 

Fetch 規(guī)范定義了對 CORS安全的首部字段集合，不得人為設(shè)置該集合之外的其他首部字段。該集合為：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type （需要注意額外的限制）

Content-Type 的值僅限于下列三者之一：

text/plain

multipart/form-data

application/x-www-form-urlencoded
只要同時滿足以下兩大條件，就屬于簡單請求。

凡是不同時滿足上面兩個條件，就屬于非簡單請求。
瀏覽器對這兩種請求的處理，是不一樣的。

對于簡單請求，瀏覽器直接發(fā)出CORS請求。具體來說，就是在頭信息之中，增加一個Origin字段。
下面是一個例子，瀏覽器發(fā)現(xiàn)這次跨源AJAX請求是簡單請求，就自動在頭信息之中，添加一個Origin字段。

GET /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面的頭信息中，Origin字段用來說明，本次請求來自哪個源（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個值，決定是否同意這次請求。

如果Origin指定的源，不在許可范圍內(nèi)，服務(wù)器會返回一個正常的HTTP回應(yīng)。瀏覽器發(fā)現(xiàn)，這個回應(yīng)的頭信息沒有包含Access-Control-Allow-Origin字段（詳見下文），就知道出錯了，從而拋出一個錯誤，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲。注意，這種錯誤無法通過狀態(tài)碼識別，因為HTTP回應(yīng)的狀態(tài)碼有可能是200。

如果Origin指定的域名在許可范圍內(nèi)，服務(wù)器返回的響應(yīng)，會多出幾個頭信息字段。

Access-Control-Allow-Origin: http://api.bob.com //必填
Access-Control-Allow-Credentials: true //非必填
Access-Control-Expose-Headers: FooBar //非必填
Content-Type: text/html; charset=utf-8

上面的頭信息之中，有三個與CORS請求相關(guān)的字段，都以Access-Control-開頭。

（1）Access-Control-Allow-Origin

該字段是必須的。它的值要么是請求時Origin字段的值，要么是一個*，表示接受任意域名的請求。

（2）Access-Control-Allow-Credentials

該字段可選。它的值是一個布爾值，表示是否允許發(fā)送Cookie。默認情況下，Cookie不包括在CORS請求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie可以包含在請求中，一起發(fā)給服務(wù)器。這個值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie，刪除該字段即可。

（3）Access-Control-Expose-Headers

該字段可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader("FooBar")可以返回FooBar字段的值。

withCredentials 屬性
上面說到，CORS請求默認不發(fā)送Cookie和HTTP認證信息。如果要把Cookie發(fā)到服務(wù)器，一方面要服務(wù)器同意，指定Access-Control-Allow-Credentials字段。

Access-Control-Allow-Credentials: true

另一方面，開發(fā)者必須在AJAX請求中打開withCredentials屬性。

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

否則，即使服務(wù)器同意發(fā)送Cookie，瀏覽器也不會發(fā)送?；蛘撸?wù)器要求設(shè)置Cookie，瀏覽器也不會處理。

但是，如果省略withCredentials設(shè)置，有的瀏覽器還是會一起發(fā)送Cookie。這時，可以顯式關(guān)閉withCredentials。

xhr.withCredentials = false;

需要注意的是，如果要發(fā)送Cookie，Access-Control-Allow-Origin就不能設(shè)為星號，必須指定明確的、與請求網(wǎng)頁一致的域名。同時，Cookie依然遵循同源政策，只有用服務(wù)器域名設(shè)置的Cookie才會上傳，其他域名的Cookie并不會上傳，且（跨源）原網(wǎng)頁代碼中的document.cookie也無法讀取服務(wù)器域名下的Cookie。

2.1 預(yù)檢請求

非簡單請求是那種對服務(wù)器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為"預(yù)檢"請求（preflight）。

瀏覽器先詢問服務(wù)器，當前網(wǎng)頁所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復，瀏覽器才會發(fā)出正式的XMLHttpRequest請求，否則就報錯。

下面是一段瀏覽器的JavaScript腳本。

var url = "http://api.alice.com/cors";
var xhr = new XMLHttpRequest();
xhr.open("PUT", url, true);
xhr.setRequestHeader("X-Custom-Header", "value");
xhr.send();

上面代碼中，HTTP請求的方法是PUT，并且發(fā)送一個自定義頭信息X-Custom-Header。

瀏覽器發(fā)現(xiàn)，這是一個非簡單請求，就自動發(fā)出一個"預(yù)檢"請求，要求服務(wù)器確認可以這樣請求。下面是這個"預(yù)檢"請求的HTTP頭信息。

OPTIONS /cors HTTP/1.1
Origin: http://api.bob.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

"預(yù)檢"請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。頭信息里面，關(guān)鍵字段是Origin，表示請求來自哪個源。

除了Origin字段，"預(yù)檢"請求的頭信息包括兩個特殊字段。

（1）Access-Control-Request-Method

該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。

（2）Access-Control-Request-Headers

該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發(fā)送的頭信息字段，上例是X-Custom-Header。

2.2 預(yù)檢請求的回應(yīng)

服務(wù)器收到"預(yù)檢"請求以后，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，確認允許跨源請求，就可以做出回應(yīng)。

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.bob.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

上面的HTTP回應(yīng)中，關(guān)鍵的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以請求數(shù)據(jù)。該字段也可以設(shè)為星號，表示同意任意跨源請求。

Access-Control-Allow-Origin: *

如果瀏覽器否定了"預(yù)檢"請求，會返回一個正常的HTTP回應(yīng)，但是沒有任何CORS相關(guān)的頭信息字段。這時，瀏覽器就會認定，服務(wù)器不同意預(yù)檢請求，因此觸發(fā)一個錯誤，被XMLHttpRequest對象的onerror回調(diào)函數(shù)捕獲?？刂婆_會打印出如下的報錯信息。

XMLHttpRequest cannot load http://api.alice.com.
Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.

服務(wù)器回應(yīng)的其他CORS相關(guān)字段如下。

Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

（1）Access-Control-Allow-Methods

該字段必需，它的值是逗號分隔的一個字符串，表明服務(wù)器支持的所有跨域請求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請求的那個方法。這是為了避免多次"預(yù)檢"請求。

（2）Access-Control-Allow-Headers

如果瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請求的字段。

（3）Access-Control-Allow-Credentials

該字段與簡單請求時的含義相同。

（4）Access-Control-Max-Age

該字段可選，用來指定本次預(yù)檢請求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請求。

2.3 瀏覽器的正常請求和回應(yīng)

一旦服務(wù)器通過了"預(yù)檢"請求，以后每次瀏覽器正常的CORS請求，就都跟簡單請求一樣，會有一個Origin頭信息字段。服務(wù)器的回應(yīng)，也都會有一個Access-Control-Allow-Origin頭信息字段。

下面是"預(yù)檢"請求之后，瀏覽器的正常CORS請求。

PUT /cors HTTP/1.1
Origin: http://api.bob.com
Host: api.alice.com
X-Custom-Header: value
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

上面頭信息的Origin字段是瀏覽器自動添加的。

下面是服務(wù)器正常的回應(yīng)。

Access-Control-Allow-Origin: http://api.bob.com
Content-Type: text/html; charset=utf-8

上面頭信息中，Access-Control-Allow-Origin字段是每次回應(yīng)都必定包含的。

響應(yīng)首部中可以攜帶一個 Access-Control-Allow-Origin 字段，其語法如下:

Access-Control-Allow-Origin:  | *

其中，origin 參數(shù)的值指定了允許訪問該資源的外域URI。對于不需要攜帶身份憑證的請求，服務(wù)器可以指定該字段的值為通配符，表示允許來自所有域的請求。

例如，下面的字段值將允許來自 http://mozilla.com 的請求：

Access-Control-Allow-Origin: http://mozilla.com

如果服務(wù)端指定了具體的域名而非“*”，那么響應(yīng)首部中的 Vary 字段的值必須包含 Origin。這將告訴客戶端：服務(wù)器對不同的源站返回不同的內(nèi)容。

JSONP只支持GET請求，CORS支持所有類型的HTTP請求。JSONP的優(yōu)勢在于支持老式瀏覽器，以及可以向不支持CORS的網(wǎng)站請求數(shù)據(jù)。

頁面可能會因某些限制而改變他的源。腳本可以將document.domain的值設(shè)置為其當前域或其當前域的超級域。如果將其設(shè)置為其當前域的超級域，則較短的域?qū)⒂糜诤罄m(xù)源檢查。
假設(shè)http://store.company.com/dir/other.html文檔中的一個腳本執(zhí)行以下語句：

document.domain = "company.com";

這條語句執(zhí)行之后，頁面將會成功地通過對http://company.com/dir/page.html的同源檢測（假設(shè)http://company.com/dir/page.html將其document.domain設(shè)置為company.com，以表明它希望允許這樣做 - 更多有關(guān)信息，請參閱 document.domain）。然而，company.com不能設(shè)置document.domain為othercompany.com，因為它不是 company.com 的超級域

通過添加cross-origin屬性即可解決getImageData，toDataURL跨域問題，具體參見canvas跨域