同源策略是一项核心安全机制，它限制一个源中的文档或脚本能与另一个源的资源进行哪些交互（读、写、嵌入等），从而防止恶意网站跨域窃取或篡改数据。 如果两个 URL 的协议、端口和主机都相同的话，则这两个 URL 是同源的。这个方案也被称为“协议/主机/端口元组”

以下是可能跨源的资源的一些示例：

• 使用 <script src="…"></script>标签嵌入的 JavaScript 脚本。语法错误信息只能被同源脚本中捕捉到。
  
• 使用 <link rel="stylesheet" href="…"> 标签嵌入的 CSS。由于 CSS 的松散的语法规则，CSS 的跨源需要一个设置正确的 Content-Type 标头。如果样式表是跨源的，且 MIME 类型不正确，资源不以有效的 CSS 结构开始，浏览器会阻止它的加载。
  
• 通过 <img> 展示的图片。
  
• 通过 <video> 和 <audio> 播放的多媒体资源。
  
• 通过 <object> 和 <embed> 嵌入的插件。
  
• 通过 @font-face 引入的字体。一些浏览器允许跨源字体（cross-origin fonts），另一些需要同源字体（same-origin fonts）。
  
• 通过 <iframe> 载入的任何资源。站点可以使用 X-Frame-Options 标头来阻止这种形式的跨源交互。
  

必然触发同源策略的ajax请求

上述列举了可能跨域并触发同源策略的资源示例，但由ajax触发的http请求如果不同源，必然触发跨域的同源策略。
http的跨域，浏览器的处理策略分为两种：

1. 简单请求: 请求方法为 GET、HEAD、POST；标头满足CORS安全规范；请求标头为Content-Type为 text/plain、multipart/form-data、application/x-www-form-urlencoded
2. 预检请求： 如果发送的http请求不在安全请求范围内，浏览器首先会发送一个OPTIONS Method的预检请求，询问此http请求携带的Method、Origin和Headers是否接受，服务器会返回响应进行告知浏览器，如果接受就再次发送简单请求。 Access-Control-Allow-Origin: https://caller.com Access-Control-Allow-Methods: POST, PUT Access-Control-Allow-Headers: X-Token

解决同源策略下的跨域问题方案

• 从服务端侧: CORS、JSONP
• 从web端侧: 代理Proxy