Все современные браузеры поддерживают CORS, и отныне мы должны использовать это дополнение.
Он работает на простой технике рукопожатия, поскольку 2 домена обмениваются доверием друг друга посредством HTTP-заголовков, отправленных/полученных. Это было долгождано, поскольку одна и та же политика происхождения была необходима, чтобы избежать XSS и других вредоносных попыток.
Чтобы инициировать запрос перекрестного происхождения, браузер отправляет запрос с помощью HTTP-заголовка Origin. Значение этого заголовка - это сайт, который обслуживал страницу. Например, предположим, что страница на http://www.example-social-network.com пытается получить доступ к данным пользователя в онлайн-альбоме-calendar.com. Если браузер пользователя реализует CORS, следующий заголовок запроса будет отправлен:
Происхождение: http://www.example-social-network.com
Если online-personal-calendar.com позволяет запрос, он посылает заголовок Access-Control-Allow-Origin в его ответ. Значение заголовка указывает, какие исходные сайты разрешены. Например, в ответ на предыдущий запрос будет содержать следующее:
Access-Control-Allow-Origin: http://www.example-social-network.com
Если сервер не разрешает запрос кросс-происхождения, браузер будет поставлять ошибку example-social-network.com вместо ответа online-personal-calendar.com.
Чтобы разрешить доступ ко всем страницам, сервер может отправить следующий заголовок ответа:
Access-Control-Allow-Origin: *
Однако, это может быть не подходит для ситуаций, в которых безопасность беспокойство.
Очень хорошо объяснено здесь на странице wiki. http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
Возможно, нет. Это два разных имени домена, поэтому междоменный запрос блокируется браузерами. –