跨域请求的一个问题

不要带自定义头

说错了，这种 Google 回的时候要有一个额外的头

我什么都没做，代码这样的
```js
let xhr = new XMLHttpRequest();
xhr.open("get", "https://www.google.com", true);
xhr.send(null);

xhr.onreadystatechange = function () {
if (xhr.readyState == 4) {
if ((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304) {
alert(xhr.responseText);
} else {
alert("Request was unsuccessful: " + xhr.status);
}
}
}
```

这是浏览器对网页施加的限制，而不是 系统或网络协议或某种魔法 对浏览器的限制。

@1OF7G 我知道是浏览器在 response 成功返回后浏览器自己把返回 block 了，但是为什么直接访问它就没有 block

@leosirius666a 浏览器只是阻止把 google.com 的内容给到其它第三方网站的 JS，如你的 localhost。如果你直接访问，根本没有第三者参与进来，还防范谁呢？

js 限制

。。。跨域不是这个意思，跨域是指你的域名的脚本加载了不是你域名的内容。。。

@VDimos 原来是这样。。

@lhx2008
@1OF7G
@beastk
@VDimos
@zsdroid
@cst4you
感谢各位，终于搞清楚了这个问题，顺便给我的笔记打个广告
https://851958789.gitbook.io/leo-notes/shi-yong-ji-shu/web-kai-fa-chang-jian-wen-ti/01-kua-yu-qing-qiu

“chrome.exe” –disable-web-security –user-data-dir=xxx

其实你还没搞懂。localhost 是本地域，有特权，不信你用 ie 使用 ajax，http https 是网络域，脚本资源遵循同源策略。

@beastk #15 勘误，在 ie 下，file 协议有特权