1、什麼是跨域？

由於瀏覽器同源策略，凡是傳送請求url的協議、域名、埠三者之間任意一與當前頁面地址不同即為跨域。存在跨域的情況：

• 網路協議不同，如http協議訪問https協議。
• 埠不同，如80埠訪問8080埠。
• 域名不同，如qianduanblog.com訪問baidu.com。
• 子域名不同，如abc.qianduanblog.com訪問def.qianduanblog.com。
• 域名和域名對應ip,如www.a.com訪問20.205.28.90.

2、跨域請求資源的方法：

(1)、porxy代理

定義和用法：proxy代理用於將請求傳送給後臺伺服器，通過伺服器來發送請求，然後將請求的結果傳遞給前端。

實現方法：通過nginx代理；

注意點：1、如果你代理的是https協議的請求，那麼你的proxy首先需要信任該證書（尤其是自定義證書）或者忽略證書檢查，否則你的請求無法成功。

(2)、CORS 【Cross-Origin Resource Sharing】

定義和用法：是現代瀏覽器支援跨域資源請求的一種最常用的方式。

使用方法：一般需要後端人員在處理請求資料的時候，新增允許跨域的相關操作。如下：

res.writeHead(200, {
"Content-Type": "text/html; charset=UTF-8",
"Access-Control-Allow-Origin":'http://localhost',
'Access-Control-Allow-Methods': 'GET, POST, OPTIONS',
'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'
});

(3)、jsonp

定義和用法：通過動態插入一個script標籤。瀏覽器對script的資源引用沒有同源限制，同時資源載入到頁面後會立即執行（沒有阻塞的情況下）。

特點：通過情況下，通過動態建立script來讀取他域的動態資源，獲取的資料一般為json格式。

例項如下：

<script>
function testjsonp(data) {
console.log(data.name); // 獲取返回的結果
}
</script>
<script>
var _script = document.createElement('script');
_script.type = "text/javascript";
_script.src = "http://localhost:8888/jsonp?callback=testjsonp";
document.head.appendChild(_script);
</script>

缺點：

　　1、這種方式無法傳送post請求（這裡）

　　2、另外要確定jsonp的請求是否失敗並不容易，大多數框架的實現都是結合超時時間來判定。

跨域請求時如何攜帶cookie？

. 無關Cookie跨域Ajax請求
客戶端
以 Jquery 的 ajax 為例：

$.ajax({
url : 'http://remote.domain.com/corsrequest',
data : data,
dataType: 'json',
type : 'POST',
crossDomain: true,
contentType: "application/json", // POST時必須
...

主要注意的是引數 crossDomain: true。傳送Ajax時，Request header 中會包含跨域的額外資訊，但不會含cookie。

伺服器端
跨域的允許主要由伺服器端控制。伺服器端通過在響應的 header 中設定 Access-Control-Allow-Origin 及相關一系列引數，提供跨域訪問的允許策略。相關引數的設定介紹，可參見 [Access_control_CORS]

以Java為例：

* Spring Controller中的方法：
*/
@RequestMapping(value = "/corsrequest")
@ResponseBody
public Map<String, Object> mainHeaderInfo(HttpServletResponse response) {
response.setHeader("Access-Control-Allow-Origin", "*");
...
}

通過在響應 header 中設定 ‘*’ 來允許來自所有域的跨域請求訪問。
response.setHeader("Access-Control-Allow-Origin", "*");
1
只允許來自特定域 http://my.domain.cn:8080 的跨域訪問
response.setHeader("Access-Control-Allow-Origin", "http://my.domain.cn:8080");
1
較靈活的設定方式，允許所有包含 mydomain.com 的域名訪問.

if(request.getHeader("Origin").contains("mydomain.com")) {
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
}

2. 帶Cookie的跨域Ajax請求
客戶端

$.ajax({
url : 'http://remote.domain.com/corsrequest',
data : data,
dataType: 'json',
type : 'POST',
xhrFields: {
withCredentials: true
},
crossDomain: true,
contentType: "application/json",
...

通過設定 withCredentials: true ，傳送Ajax時，Request header中便會帶上 Cookie 資訊。

伺服器端
相應的，對於客戶端的引數，伺服器端也需要進行設定：

/**
* Spring Controller中的方法：
*/
@RequestMapping(value = "/corsrequest")
@ResponseBody
public Map<String, Object> getUserBaseInfo(HttpServletResponse response) {
if(request.getHeader("Origin").contains("woego.cn")) {
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
}
response.setHeader("Access-Control-Allow-Credentials", "true");
...
}

對應客戶端的 xhrFields.withCredentials: true 引數，伺服器端通過在響應 header 中設定 Access-Control-Allow-Credentials = true 來執行客戶端攜帶證書式訪問。通過對 Credentials 引數的設定，就可以保持跨域 Ajax 時的 Cookie。這裡需要注意的是：

伺服器端 Access-Control-Allow-Credentials = true時，引數Access-Control-Allow-Origin 的值不能為 '*' 。

參考：https://blog.csdn.net/wzl002/article/details/51441704
           https://blog.csdn.net/weixin_39279356/article/details/81629596