### 同源策略(Same-origin Policy) * 同源策略是 Netscape 提出的一個著名的安全策略 * 同源策略是瀏覽器最核心最基礎的安全策略 * 現在所有的可支持 Javascript 的瀏覽器都會使用這個策略 * web構建在同源策略基礎之上，瀏覽器對非同源腳本的限制措施是對同源策略的具體實現 #### 同源策略的含義 * DOM 層面的同源策略：限制了來自不同源的”Document”對象或 JS 腳本，對當前“document”對象的讀取或設置某些屬性 * Cookie和XMLHttprequest層面的同源策略：禁止 Ajax 直接發起跨域HTTP請求（其實可以發送請求，結果被瀏覽器攔截，不展示），同時 Ajax 請求不能攜帶與本網站不同源的 Cookie。 * 同源策略的非絕對性：`<script><img><iframe><link><video><audio>`等帶有src屬性的標簽可以從不同的域加載和執行資源。 * 其他插件的同源策略：`flash、java applet、silverlight、googlegears`等瀏覽器加載的第三方插件也有各自的同源策略，只是這些同源策略不屬于瀏覽器原生的同源策略，如果有漏洞則可能被黑客利用，從而留下XSS攻擊的后患 #### 同源的具體含義 * 域名、協議、端口有一個不同就不是同源，三者均相同，這兩個網站才是同源