加载外部页面的跨域解决方法

一种方法是创建一个代理页面，该页面请求服务器上的外部页面。实现取决于所使用的技术，但想法是，然后您可以对代理页面进行 ajax 调用，而不是与调用页面位于同一域中。

是的，有几种方法可以解决这个问题。但我强烈建议CORS（跨域资源共享）。CORS是解决跨域Ajax的新兴标准。这正在取代诸如JSONP（具有已知安全问题）之类的方法。

不幸的是，较旧的IE版本（6-9）不支持CORS，但是对于未本地实现CORS的浏览器，已经建立了polyfill。

在基本层面上，下面是一个示例请求（来自上面的 MDN 链接），其中浏览器生成一个带有 Origin 标头的请求，指示请求的域，该域由端点验证：

GET /resources/access-control-with-credentials/ HTTP/1.1
Host: bar.other
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1b3pre) Gecko/20081130 Minefield/3.1b3pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive
Referer: http://foo.example/examples/credential.html
Origin: http://foo.example
Cookie: pageAccess=2

支持 CORS 的 Ajax 端点可能会使用浏览器验证的相应标头进行响应。请参阅此示例中的访问控制-允许源和访问控制-允许-凭据：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:34:52 GMT
Server: Apache/2.0.61 (Unix) PHP/4.4.7 mod_ssl/2.0.61 OpenSSL/0.9.7e mod_fastcgi/2.4.2 DAV/2 SVN/1.4.2
X-Powered-By: PHP/5.2.6
Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Credentials: true
Cache-Control: no-cache
Pragma: no-cache
Set-Cookie: pageAccess=3; expires=Wed, 31-Dec-2008 01:34:53 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 106
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

浏览器还可以发送预飞行（使用 OPTIONS 动词），该动词可以向服务器指示 Ajax 调用将使用哪些标头或动词。预飞行实际上是与主 Ajax 调用分开的调用，但仅在特定条件下调用。

许多Web服务器（IIS，Apache）通过模块支持CORS。服务器将需要配置以将源、允许的谓词、标头等列入白名单。也可以使用通配符，但不建议使用。