同源策略

• ajax请求时，浏览器要求当前网页和server必须同源（安全）
• 同源：协议、域名、端口三者必须一致

加载图片，css,js可无视同源策略

<img src="跨域的图片地址"/>
<link href="跨域的css地址"/>
<script src="跨域的js地址"></script>

js跨域的原因：关闭会容易受到XSS和CSRF的攻击

js跨域方案

通过jQuery实现jsonp

CORS-服务器设置http-header