JavaScript出于安全方面的考虑做的同源策略的限制，不允许跨域访问其他资源。通常跨域请求成功后，浏览器会拒绝响应服务器端返回的结果。

1.出于哪些方面的安全考虑？

同源政策的目的是为了防止恶意网站窃取用户数据信息冒充用户做一些操作。同源限制只是提高攻击成本。如果没有JavaScript同源限制：

（1）CSRF攻击

（2）XSS攻击

2.什么是同源？

域名、协议、端口均相同。举例来说，http://www.example.com/dir/page.html这个网址，协议是http://，域名是www.example.com，端口是80（默认端口可以省略）

3.做了哪些限制？

（1）Window对象之间的跨源通信：无法读取Cookie（cookie是只会区分域名，不会区分端口的，所以在处理cookie 的时候必须首先你自己为cookie加上端口的标示以便区分。这里要感谢评论区指正的道友）、LocalStorage 、IndexDB 和获取DOM，但通过以下标签可以跨域访问资源：

<img src="URL"> <link href="URL"> <script src="URL"> <iframe src="URL"> <form action="URL" method="get/post"> First name: <input type="text" name="fname"><br> Last name: <input type="text" name="lname"><br> <input type="submit" value="提交"> </form>

另外，如果是非同源的网页，目前允许通过 JavaScript 脚本可以拿到其他窗口/网页的window对象的九个属性和四个方法。

• window.closed
• window.frames
• window.length
• window.location
• window.opener
• window.parent
• window.self
• window.top
• window.window
• window.blur()
• window.close()
• window.focus()
• window.postMessage()

其中，只有window.location是可读写（非同源的情况下，也只允许调用location.replace方法和写入location.href属性）的，其他八个全部都是只读。

（3）客户端服务器间：浏览器拒绝接受AJAX 请求的响应。

4.怎么样算是跨域？

如下相对http://store.company.com/dir/page.html同源检测的示例:

注意：域名与其对应的ip也不能成功访问