Ajax 沒有權限 - 跨域是指當使用 Ajax 技術發送請求時，由于瀏覽器的同源策略限制，請求被拒絕。這是一個常見的問題，通常會出現在嘗試從一個源（域名、端口和協議組成）向另一個源發送請求時。本文將探討 Ajax 跨域的原因、問題以及解決方法。

在了解跨域之前，我們先來看一個例子。假設我們正在開發一個 web 應用程序，前端部分運行在 http://www.example.com，后端部分運行在 http://www.api.com。當我們使用 Ajax 請求從前端向后端發送數據時，瀏覽器會根據同源策略檢查請求的源和目標是否相同。在這種情況下，由于兩個域名不同，瀏覽器會拒絕請求，拋出一個“沒有權限 - 跨域”（No Access Control-Allow-Origin）的錯誤。

那么，為什么會有同源策略的限制呢？同源策略是為了保護用戶的安全。如果不存在同源限制，那么一個惡意網站就可以通過 Ajax 發送請求，獲取用戶的敏感信息，比如 cookie，而用戶并不知情。因此，瀏覽器限制了跨域請求，以確保用戶的數據安全。

那么，有沒有解決這個問題的辦法呢？有多種方法可以解決 Ajax 跨域的問題，下面我們分別介紹。

一種常見的解決方法是使用 JSONP（JSON with Padding）。JSONP 允許我們通過動態創建 script 標簽的方式來發送跨域請求。在前端代碼中，可以通過一個回調函數名作為參數，將需要獲取的數據作為參數傳遞給后端。后端將返回一個 JavaScript 函數調用，將數據作為參數傳遞給前端的回調函數。這是一種簡單但比較受限制的跨域解決方法，只能用于 GET 請求，并且后端需要特殊處理。

function getData(callback) {
var script = document.createElement('script');
script.src = 'http://www.api.com/data?callback=' + callback;
document.body.appendChild(script);
}
function processData(data) {
console.log(data);
}

另一種常見的解決方法是使用 CORS（Cross-Origin Resource Sharing）。CORS 是一種瀏覽器與服務器進行跨域通信的標準。使用 CORS，服務器可以在響應頭中添加一個 Access-Control-Allow-Origin 的字段，指定允許跨域請求的源。前端發送請求時，瀏覽器會在請求頭中自動添加一個 Origin 字段，指明該請求的源。服務器通過校驗 Origin 字段，決定是否允許跨域請求。CORS 是一種非常強大和靈活的跨域解決方法，支持各種類型的請求，并且不需要前端特殊處理。

// 后端代碼（在響應頭中添加 Access-Control-Allow-Origin 字段）
app.get('/data', function(req, res) {
res.header("Access-Control-Allow-Origin", "http://www.example.com");
res.json({ data: 'some data' });
});
// 前端代碼
fetch('http://www.api.com/data')
.then(response =>response.json())
.then(data =>console.log(data));

在實際開發中，我們還可以使用代理服務器、修改后端配置或者使用第三方庫來解決跨域問題。不同的方法適用于不同的場景，根據實際需求選擇合適的解決方案。

總而言之，Ajax 沒有權限 - 跨域是一個常見的問題，但我們可以通過使用 JSONP、CORS 或其他方法來解決。了解跨域的原因和解決方法對于開發人員來說是非常重要的，以確保 Web 應用能夠正常運行并保護用戶的數據安全。