同源策略

同源策略是浏览器的一个安全功能，浏览器禁止在当前域读写其他域的资源，如限制跨域发送ajax请求
不受同源策略限制的
1）页面中的链接，重定向表单以及表单提交
2）跨域资源引入如script不受跨域限制，可以跨域请求src
如何解决跨域访问资源
1）利用script的跨域特性绕过同源策略，介绍了JSONP

https://www.cnblogs.com/rain-chenwei/p/9520240.html

绕过同源策略

通常情况下，浏览器会限制跨域资源的加载和执行，这是出于安全考虑。然而，存在一些方法可以实现跨域JavaScript源文件的加载：

方法一：

方法二：JSONP（JSON with Padding）：JSONP是一种使用动态创建<script>标签的技术，通过回调函数的方式实现跨域数据的获取和处理。它允许在不同域之间进行数据交换，但需要服务器端支持。例如：

function handleResponse(data) {
  // 处理返回的数据
}

var script = document.createElement('script');
script.src = 'https://www.example.com/data?callback=handleResponse';
document.head.appendChild(script);

在此示例中，服务器返回的数据将以函数回调的方式传递给handleResponse函数。

方法三：

CORS（Cross-Origin Resource Sharing）：CORS是一个基于HTTP头部的标准，它允许服务器通过设置响应头从而控制跨域资源的访问权限。通过在服务器端配置适当的CORS策略，您可以控制哪些域可以跨域加载和使用JavaScript源文件。

CORS

CORS（跨源资源共享）是一种机制，用于在多个域之间进行数据交互。它解决了如何在不同源的网页上共享数据的问题。

在CORS中，浏览器会在请求中加入一个"Origin"头，标识请求的源。服务器在收到请求后，会检查这个头，然后决定是否接受请求。

假设A网站有一个页面，页面的ajax请求了B网站的资源。浏览器去请求时，会检查origin，如果A在B允许的请求源时，可以请求B。

如果B的Access-Control-Allow-Origin为* 或者为域A，则A就可以访问B的资源。

Access-Control-Allow-Origin 是一个 HTTP 头部字段，用于在跨域资源共享 (CORS) 中设置允许访问资源的源（Origin）。CORS 是一种机制，允许 web 应用程序从不同的源访问其资源。

当在浏览器的跨域请求中，请求的源（Origin）与服务器资源的响应不在同一个域时，浏览器会发送一个预检请求（OPTIONS请求），检查服务器是否允许来自该源的访问。如果服务器允许该源的访问，它将在响应中包含 Access-Control-Allow-Origin 头部字段，指示该源具有访问权限。

例如，如果服务器允许所有源的访问，可以设置如下的响应头部字段：

```
Access-Control-Allow-Origin: *
```

如果只允许某些特定的源访问，可以设置具体的源：

```
Access-Control-Allow-Origin: https://www.example.com
```

通过设置 Access-Control-Allow-Origin 头部字段，服务器可以明确指定哪些源可以跨域访问资源，从而提供更安全和可控的访问策略。