注:IE 未将端口号加入到同源策略的组成部分之中
在浏览器中, 、、、等标签都可以跨域加载,而不受浏览器的同源策略的限制, 这些带src属性的标签每次加载的时候...,实际上都是浏览器发起一次GET请求, 不同于普通请求(XMLHTTPRequest)的是,通过src属性加载的资源,浏览器限制了JavaScript的权限,使其不能读写src加载返回的内容
浏览器同源策略中...Session Storage、Local Storage、Cache、Indexed DB
#1.2.2 DOM
来自一个源的js只能读写自己源的DOM树不能读取其他源的DOM树
#1.2.3 异步请求...当然其实本质是,一方面浏览器发现一个源的js向其他源的接口发送请求时会自动带上Origin头标识来自的源,让服务器能通过Origin判断要不要向应;另一方面,浏览器在接收到响应后如果没有发现Access-Control-Allow-Origin...cookies),该值只能是true,否则不返回
Access-Control-Max-Age: 1800 //预检结果缓存时间,也就是上面说到的缓存,单位:秒
Access-Control-Allow-Methods