JS跨域的理解

首先我们要理解什么是JS跨域的由来！
我是这样理解的，因为HTTP是无状态的协议，所谓无状态的就是不像FTP协议有连接，断开之分，用户每次打开一个网页，都可以理解为一次独立的访问，这样就造成了相同网站上的不同网页都需要输入用户名和密码。为了解决这个问题，就要考虑使用Cookie，绝大部分网站都会进行一些cookie访问，那么着就造成了一个危险：别的网站可以通过这些用户名和密码，“登陆“你的账号去进行一些操作。为了阻止这个问题，浏览器就会限制JS去访问不同域的网站资源。
这里需要注意两点，第一，这个域的理解，这个域就是URL的首部，指的是window.location.protocol +window.location.host。它不会去尝试判断相同的ip地址对应着两个域或两个域是否在同一个ip上。
比如说如果协议不同，端口不同，或者说用的是IP地址，那么都不算是同域；

也可以理解为源由规则+主机+端口组成，注意不包括路径

第二，虽然浏览器默认禁止了跨域访问(访问域的资源)，但并不禁止在页面中引用其他域的JS文件（理解为不允许脚本主动的去进行跨域访问，但是可以被动被别人引用），并可以自由执行引入的JS文件中的function（包括操作cookie、Dom等等）。所以我现在的理解就是在开发网站时，一定要严格过滤从外面引入的JS脚本。这里我们可以参考去年新浪微博的遭到XSS攻击的事情，这就是因为新浪微博广场页面的XSS过滤不严导致的。这也是跨域攻击的方法之一！就是我们通过点击某个URL，将恶意的JS脚本注入，这个脚本有可能自动进行很多操作。XSS的方法二就是使用外部攻击，详见http://coolshell.cn/articles/4914.html那么为了解决这个问题就提出了各种跨域的方法


详见 http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html