一、同源策略

要理解跨域，先要了解一下“同源策略”。所谓同源是指，域名，协议，端口相同。所谓“同源策略“，简单的说就是基于安全考虑，当前域不能访问其他域的东西。

图片来源网络

二、jsonp是怎么产生的？

1、根据同源策略的规定，ajax请求其他域名或服务器的文件是不被允许的，不管是静态页面、动态页面一律禁止跨域访问。
2、可以我们发现带src属性的标签是不受“同源策略”的限制的，例如script，link，img等标签。
3、所以聪明的开发人员就利用script的src去请求数据

三、jsonp

callback({ "name" : "wangjiankui"})

jsonp是由两部分组成，回调函数和数据。回调函数是当页面的响应到来时在该页面调用的函数。数据就是传入回调函数的jsonp数据，就想下面的链接一样，典型的jsonp回调函数：

http://www.abc.com?callback=abc
//callback是和后台约定的参数，abc则为响应到来时的回调函数名

四、如何实现？

我用wampserver在本地启动一个服务器，然后用本地的html文件来访问服务器，用来简单模拟跨域请求，模拟服务器路径如下：

http://localhost/ajax/ab.php

服务器上的php代码如下，能返回一个简单的数组：

<?php
 $arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);
 $result=json_encode($arr);
 $callback=$_GET['callback'];
 echo $callback."($result)";
?>

接下来就是写本地的html文件来访问这个服务器上的php文件，接收返回的数据：

html文件的路径如下：

file:///D:/wamp/www/ajax/ajax2.html

html代码如下：

<script type="text/javascript">
    //数据返回时的回调函数
    var showName = function(data){
        console.log(data);
        //data:{a: 1, b: 2, c: 3, d: 4, e: 5}
    };
    var script = document.createElement("script");
    script.type = "text/javascript";
    script.src = "http://localhost/ajax/ab.php?callback=showName";
    document.getElementsByTagName('head')[0].appendChild(script);
</script>

这样就可以成功的访问其域名下的文件了。楼主文字水平有限，不能和好的面试，直接看代码比较好。欢迎高手来指正错误。

jsonp的缺点：

1、jsonp是从其他域中加载代码执行，如果其他域不安全，很可能会在响应中夹带一些恶意代码，此时除了完全摒弃jsonp调用外，没有办法追究，在使用不是自己的运维的服务器时一定要保证它安全可靠。

2、要确定jsonp请求是否失败并不容易，虽然HTML5给<script>增加了一个onerror事件处理程序，但是并没有得到大多数浏览器的支持。为此，不得不使用计时器检测指定时间内是否得到相应，，，这也不尽如意，毕竟用户上网速度和带宽都不一样。