JavaScript跨域解决方案：百度通行证与同源策略解析

“腾讯二面准备，涉及腾讯面试题，特别是关于跨域问题的解决策略。” 在互联网开发中，跨域问题是一个常见的挑战，特别是在涉及到AJAX请求和其他跨站点交互时。腾讯作为一家大型互联网公司，其面试过程中可能会询问应聘者如何解决这样的问题。这个问题在描述中通过百度的登录机制进行了阐述，揭示了一种巧妙的跨域解决方案。 首先，我们要理解什么是跨域问题。跨域是由浏览器的同源策略所引起的，这个策略限制了一个源（协议+主机+端口）的文档或脚本只能与同一源的资源进行交互。例如，一个在`http://www.example.com`上的网页无法直接通过JavaScript获取`http://www.anotherexample.com`上的数据。这是为了防止恶意网站读取或修改用户在另一个网站上的敏感信息。 在描述中提到，百度使用了IFrame和动态添加的JavaScript `<script>`标签来规避同源策略。具体做法是，在用户未登录状态下，`zhidao.baidu.com`页面通过IFrame嵌入`userlogin.html`，该页面中的JavaScript负责发起异步请求。由于`<script>`标签不受同源策略限制，可以加载并执行任何域下的JavaScript代码，因此，它可以通过动态生成一个URL，将登录请求的参数编码在URL中，然后加载这个URL，使得登录逻辑可以在`passport.baidu.com`上执行。登录成功或失败后，服务器会返回一个简单的JavaScript函数调用（如`loginFalse()`或`PSP_ik()`），在IFrame内执行，从而通知主页面登录的结果。 这种方法的优点在于，它避免了XMLHttpRequest的同源限制，同时不需要服务器返回复杂的JSON或其他数据结构，只需简单地执行回调函数即可。此外，这种方案也可以用于文件上传，因为IFrame可以用来提交表单，实现跨域文件上传，就像Google的点击计数技术，通过创建一个新的图片元素`<img>`，将其`src`属性设置为计数URL，实现无痛的跨域统计。 解决跨域问题的方法有很多，包括但不限于JSONP（JSON with Padding）、CORS（Cross-Origin Resource Sharing）、代理服务器等。在腾讯的面试中，候选人可能需要展示对这些方法的理解，以及在实际项目中应用它们的能力。理解并灵活运用跨域解决方案，对于前端开发者来说是非常关键的技能，也是面试中可能被重点考察的领域。