1、同源策略

根据百度百科 同源策略它是由 Netscape 提出的一个安全策略，它是浏览器最核心也是最基本的安全功能，如果缺少同源策略，则浏览器的正常功能可能都会受到影响，现在所有支持JavaScript的浏览器都会使用这个策略。

所谓同源指的是：

协议、域名、端口号都相同，只要有一个不相同，那么都是非同源。

浏览器在执行脚本的时候，都会检查这个脚本属于哪个页面，即检查是否同源，只有同源的脚本才会被执行；而非同源的脚本在请求数据的时候，浏览器会报一个异常，提示拒绝访问。

①、http://www.123.com/index.html 调用  http://www.123.com/welcome.jsp      协议、域名、端口号都相同，同源。

②、https://www.123.com/index.html 调用 http://www.123.com/welcome.jsp      协议不同，非同源。

③、http://www.123.com:8080/index.html 调用 http://www.123.com:8081/welcome.jsp   端口不同，非同源。

④、http://www.123.com/index.html 调用  http://www.456.com/welcome.jsp       域名不同，非同源。

⑤、http://localhost:8080/index.html 调用 http://127.0.0.1:8080/welcom.jsp        虽然localhost等同于 127.0.0.1 但是也是非同源的。

同源策略限制的情况：

1、Cookie、LocalStorage 和 IndexDB 无法读取

2、DOM 和 Js对象无法获得

3、AJAX 请求不能发送

注意：对于像 img、iframe、script 等标签的 src 属性是特例，它们是可以访问非同源网站的资源的。

2、跨域实例演示

我们创建了两个 web 项目JavaWeb01 和 JavaWeb02 分别部署在tomcat1和Tomcat2上，这两个 Tomcat 的端口号设置是不一样的，一个是 8080，一个是8081，所以这两个项目构成了非同源。那么我们从客户端（浏览器）输入访问部署在 Tomcat2 上的项目 JavaWeb2，然后在该项目中通过 ajax 去请求部署在 Tomcat1 上的项目数据，能够访问的到呢？

①、在 JavaWeb02 项目中，有一个 jsp 文件，我们通过在浏览器访问该 JSP 文件去获取 JavaWeb01 项目中的数据

通过ajax 访问

url:"http://localhost:8080/JavaWeb01/getPassWordByUserNameServlet?userName=Tom"

去获取 JavaWeb01 项目中的数据。

②、在 JavaWeb01 项目中，创建一个 getPassWordByUserNameServlet 请求的 Servlet

③、在浏览器中输入 http://localhost:8081/JavaWeb02/index.jsp 链接，去调用该页面的 ajax 函数

浏览器给我们返回了一个错误，这就是浏览器同源策略导致的跨域访问会报错。那么该如何解决呢？

3、跨域解决办法

①、response 添加 header 　　我们在 Servlet 请求返回时添加如下代码：

请求结果如下：