跨域實現的過程大體以下:php
1 從 http://www.a.com/test.html 發起一個跨域請求,html
請求的地址爲: http://www.b.com/test.php跨域
2 若是 服務器B返回一個以下的header安全
Access-Control-Allow-Origin: http://www.a.com服務器
那麼,這個來自 http://www.a.com/test.html 的跨域請求就會被經過。cookie
在這個過程當中, request 還會帶上這個header:spa
Origin: http://www.a.comhtm
3 圖解對象
不過這裏比較要命的是 Access-Control-Allow-Origin 的值能夠是通配符 *blog
若是是 * 的話,就能夠接收來自任意source origin的請求。
除了這個Header外,還能夠經過一些其餘的Header 來控制好比 Method, 時間等
出於安全考慮,跨域請求不能訪問document.cookie 對象。
ps: https的連接,默認不容許跨域。