浏览器检查域的时机

检查域

（1）访问window对象

（2）XHR请求: Access-Control-Allow-Origin响应头

（3）访问frame/iframe对象

（4）访问文件

（5）访问cookie

不检查域

（1）<script>

（2）  css

（3）<img>

（4）<video>和<audio>

（5）插件<object>，<embed>和<applet>

（6）@font-face

（7）<frame>和<iframe>

     
   
     
     

   

存取瀏覽頁面，也就是DOM中的Window物件

透過XmlHttpRequest發送URLs

存取frame或iframe

存取文件內容，包含文件中的內嵌的物件

存取cookies

然而，上述的檢查並未包含在HTML頁面中的連結來源，如：圖片連結、外部CSS連結，及外部scripts連結，唯一會檢查的就是透過XmlHttpRequest方法存取外部文件的時候。

https://developer.mozilla.org/en-US/docs/Web/JavaScript/Same_origin_policy_for_JavaScript?redirectlocale=en-US&redirectslug=JavaScript%2FSame_origin_policy_for_JavaScript

https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS