JavaScript跨域访问有何限制

JavaScript跨域访问的限制主要来自于浏览器的同源策略。同源策略（Same-origin policy）是浏览器安全的基石，它规定了一个网页上的脚本只能访问与该网页具有相同协议、域名和端口号的资源。具体来说，同源策略要求两个资源必须满足以下条件才被认为是同源的：

1. 协议相同：即HTTP或HTTPS。
2. 域名相同：即相同的顶级域名、二级域名和三级域名。例如，www.example.com 和 example.com 是同源的，但 www.example.com 和 sub.example.com 不是同源的。
3. 端口号相同：即相同的端口号。

由于同源策略的限制，JavaScript无法直接访问不同源的资源。然而，有时我们需要跨域访问资源，这时可以使用以下方法：

1. CORS（跨域资源共享）：服务器可以通过设置响应头来允许特定的源访问资源。例如，服务器可以设置Access-Control-Allow-Origin头来指定允许访问的源。
2. JSONP（JSON with Padding）：JSONP是一种跨域数据交互的方法，它利用了<script>标签没有跨域限制的特点。服务器返回的数据会被包裹在一个函数调用中，客户端需要提前定义好这个函数。
3. 代理服务器：通过在同源策略允许的范围内设置一个代理服务器，将跨域请求转发到目标服务器。客户端与代理服务器通信遵循同源策略，而代理服务器可以与任何服务器通信。
4. WebSocket：WebSocket是一种支持跨域的通信协议，它允许客户端和服务器之间建立持久连接并进行双向通信。

需要注意的是，跨域访问可能会带来安全风险，因此在实际应用中需要谨慎使用上述方法，并确保数据传输的安全性。