跨域

JSONP

使用<script>标签不受同源策略影响的特性，作为Ajax传输技术称为JSONP。

使用JSONP时，需要服务器返回一个实际内容作为一个函数参数的函数执行语句。

//整个函数作为返回主体,实际的响应主体
handleResponse（
//目标需要的响应主体
[1,2,{"buckle":"my shoe"}]
)

handleResponse()的表达式在客户端完成,通过<script>标签使用JSONP后，在客户端上会执行handleResponse(data)函数达到获取数据的目的。

通常情况为了使用方便，在URL中添加一个查询参数来表示返回的执行函数的函数名。

示例

//一个响应处理函数
function handleResponse(response){
  alert("You're at IP address " + response.id + ".");
}
var script = document.creatElement("script");
//在url中添加一个查询参数指明响应处理函数名称
script.src = "http://XXX.XXX/XX?callback=handleResponse";
document.body.insertBefore(script,document.body.firstChild);

CORS跨域资源共享

CORS(Cross-Origin Resource Sharing)是一种跨域获取资源的解决方案。思想是使用自定义的http头让浏览器与服务器沟通，从而决定请求或响应是否成功。(ie10以下不支持)

客户端在发送请求的时候添加一个额外的头部信息Origin头部，内容包含请求页面的源信息(协议、域名和端口)，服务器根据这个头部信息来决定是否给予响应。如果服务器认为这个请求可以接受，就在Access-Control-Allow-Origin头部中发回相同的源信息。如果服务器返回的响应没有这个头部或者头部的源信息不匹配，浏览器就会驳回。

客户端对于请求分为两类，简单请求和非简单请求。

简单请求

CORS对于简单请求只是在头信息中添加Origin字段，这个字段说明本次请求来自哪个源，即发送请求的页面地址。发送请求以后，浏览器会接收服务器的响应，当响应成功时http码200，在响应头中Access-Control-Allow-Origin 字段中出现请求页面的地址,则请求页面可以接收到来自服务器的信息，否则页面不能获取响应的信息，但是实际信息已经发送到浏览器，由于同源策略的原因不可访问。

Access-Control-Allow-Origin 该字段是必须的。它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求。

Access-Control-Allow-Credentials 字段表示是否允许发送Cookie。如果这个字段为true，表明可以接收cookie。xhr.withCredentials = true; 在浏览器上设置发送cookie;

Access-Control-Expose-Headers 字段表示获取的响应头的其他字段。

非简单请求

非简单请求是指请求方法为PUT 或DELETE，或者Content-Type为application/json。对于这样的请求CORS会在正式请求之前发送一次预请求。

预请求的方法是OPTIONS ，预请求的头信息里包括Origin Methods Headers三个字段。

Access-Control-Allow-Origin同简单请求

Access-Control-Allow-Methods该字段必需，它的值是逗号分隔的一个字符串，表明服务器支持的所有跨域请求的方法。注意，返回的是所有支持的方法，而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。

Access-Control-Allow-Headers该字段是一个逗号分隔的字符串，指定浏览器CORS请求会额外发送的头信息字段。

如果浏览器否定了预请求，会返回一个正常的HTTP响应，但是响应头中没有任何CORS的信息。这时会触发XMLHttpRequest对象的onerror方法。

<script>
    document.cookie = "This is Cookie";
    var xhr = new XMLHttpRequest();
    var url = 'http://localhost:8081/';
    xhr.open('GET',url);
    xhr.setRequestHeader('X-Custom-Header', 'value');
    xhr.onreadystatechange = function (){
        if(xhr.readyState ===4){
            if(xhr.status === 200){
                var span = document.getElementById("span");
                span.innerHTML = xhr.responseText;
                alert(xhr.responseText);
            }
        }
    };
  //发送cookie
    xhr.withCredentials = true;
    xhr.send(null);
    console.log(document.cookie);
</script>

var http = require('http');
var message = "This is massage";
http.createServer(function(req,res){
    res.setHeader("Content-type","text/text");
    res.setHeader("Access-Control-Allow-Origin","http://localhost:63342");
    res.setHeader("Access-Control-Allow-Methods","GET,POST,PUT,DELETE");
    res.setHeader("Access-Control-Allow-Credentials",true);
  //设置允许的请求头中出现的字段
    res.setHeader("Access-Control-Allow-Headers","X-Custom-Header");
    res.writeHead(200);
    res.write(message);
    res.end(" end");
}).listen(8081);