同源策略(Same origin Policy)

浏览器出于安全方面的考虑，只允许与本域（同协议、同域名、同端口）下的接口交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方的资源。

跨域的几种方法

CORS

CORS 全称是跨域资源共享（Cross-Origin Resource Sharing），是一种 ajax 跨域请求资源的方式，支持现代浏览器，IE支持10以上。
实现方式很简单，当你使用 XMLHttpRequest 发送请求时，浏览器发现该请求不符合同源策略，会给该请求加一个请求头：Origin，后台进行一系列处理，如果确定接受请求则在返回结果中加入一个响应头：Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值，如果有则浏览器会处理响应，我们就可以拿到响应数据，如果不包含浏览器直接驳回，这时我们无法拿到响应数据。

如何使用：
1、简单模式（GET、 POST）
目标服务器在响应头里添加下面代码 即可

    response.setHeader('Access-Control-Allow-Origin','http://xxx.com')

2、复杂模式（除了 GET、POST）
目标服务器在响应头里添加下面代码 即可

    response.setHeader('Access-Control-Allow-Origin',
     'http://xxx.com')
    response.setHeader('Access-Control-Allow-Methods', 
     'OPTIONS, PATCH, DELETE, HEAD')

会发两次请求，第一次是 OPTIONS 请求，询问目标服务器是否允许 PUT/PATCH如果允许，则发真正的请求。

JSONP

JSONP(JSON with Padding)是一个非官方的协议，它允许在服务器端集成Script tags返回至客户端，通过javascript callback的形式实现跨域访问

使用：
1、让目标网站在一个 xxx.js 里放置数据，形式是 JSON + Padding

{{callback}}({
"name":"fang",
"age":23
})

2、本网站使用 script 加载 xxx.js

var script = document.createElement('script')
script.src = 'http://xxx.com/xxx.js'
document.head.appendChild(script)

3、约定用 callback=xxx 来交流
前端代码

jsonp('http://ll.com/ll.js',function(data){
  console.log(data)
})
function jsonp(url, fn){
  var functionName = xxx
  window[functionName] = fn

  var script = document.createElement('script')
  script.src = url + '?callback=' + functionName
  document.head.appendChild(script)

}

后端代码

// nodejs
if(path === '/xxx.js'){  
  var callback = query.callback
  var string = fs.readFileSync('./xxx.js','utf8')
  response.setHeader('Content-Type', 'text/javascript; charset=utf-8')
  response.end(string.replace('{{callback}}',callback))
}

4 jQuery 用法：

$.ajax({
  url:'http://qq.com/xxx.js',
  dataType: 'jsonp',
  success: function(data) {
    console.log(data)
  }
})

JSONP和AJAX的区别

1、原理 JSONP 是 script ，AJAX 是 JS 发起的请求。
2、JSONP只支持GET请求，CORS支持所有类型的HTTP请求。
3、JSONP 不太安全，因为大家都可以访问（没有跨域限制），AJAX 有跨域限制。
4、JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。