Javascript跨域与浏览器同源

现有A，B两个url，若这两个url的协议相同，域名相同，端口相同则说明这两个url同源，即Javascript的同域。如，http://www.example.com:80/和http://www.example.com:80/admin同源，只是路径不同而已，http://www.example.com:8000和http://www.example.com:8001不同源。出于安全考虑，浏览器默认执行同源策略，即若A，B不同源，则不能在A站点直接去获取B站点的数据，这也在一定程度上降低了发生XSS的可能性。而且当前十分流行的异步加载技术AJAX，明确禁止跨域访问。但开发时，比如做问卷调查，自己的站点A需要直接获取某问卷调查网站B的数据，此时可以向此B网站申请，让其对A站点开放跨域访问。具体方法是，要求对方在response的header头中加上Access-Control-Allow-Origin：A域名，这样的话，当获取B网站的数据时，便可以进行跨域访问了。作为一个网络管理员，千万不要配置Access-Control-Allow-Origin
: *, 因为这样的配置，即对所有站点开放，使得任何其他站点都可以跨域获取自己的站点数据，非常危险。