jsonp跨域

同源策略

同源是指，域名，协议，端口相同。所谓同源策略，指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。

URL1 | URL2 | 说明 | 是否允许通信
http://www.foo.com/js/a.js | http://www.foo.com/js/b.js | 协议、域名、端口都相同 允许
http://www.foo.com/js/a.js | http://www.foo.com:8888/js/b.js | 协议、域名相同，端口不同 | 不允许
https://www.foo.com/js/a.js | http://www.foo.com/js/b.js | 主机、域名相同，协议不同 | 不允许
http://www.foo.com/js/a.js | http://www.bar.com/js/b.js | 协议、端口相同，域名不同 | 不允许
http://www.foo.com/js/a.js | http://foo.com/js/b.js | 子域名不同 | 不允许

• 同源策略限制了不同源之间的交互，但是有人也许会有疑问，我们以前在写代码的时候也常常会引用其他域名的js文件，样式文件，图片文件什么的，没看到限制啊，这个定义是不是错了。其实不然，同源策略限制的不同源之间的交互主要针对的是js中的XMLHttpRequest等请求，下面这些情况是完全不受同源策略限制的。
  
  • 页面中的链接，重定向以及表单提交是不会受到同源策略限制的。链接就不用说了，导航网站上的链接都是链接到其他站点的。而你在域名www.foo.com下面提交一个表单到www.bar.com是完全可以的。
  • 跨域资源嵌入是允许的，当然，浏览器限制了Javascript不能读写加载的内容。如前面提到的嵌入的<script src="..."></script>，<img>，<link>，<iframe>等。当然，如果要阻止iframe嵌入我们网站的资源(页面或者js等)，我们可以在web服务器加上一个X-Frame-Options DENY头部来限制。nginx就可以这样设置add_header X-Frame-Options DENY;。