同源策略

所谓同源是指，域名，协议，端口相同。

这个策略可以追溯到 Netscape Navigator 2.0，是浏览器上为安全性考虑实施的非常重要的安全策略。

不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下，不能读写对方的资源，只有同源的脚本才会被执行，从一个域上加载的脚本不允许访问另外一个域的文档属性。

同源策略机制为现代广泛依赖于cookie维护用户会话的Web浏览器定义了一个特殊的功能，严格隔离不相关的网站提供的内容，防止客户端数据机密性或完整性丢失。

假设没有同源策略，用户访问一个有危险性的网站（嵌入了攻击代码等），恶意网页上的javascript脚本就可以获取用户名和密码等信息。

在浏览器中，<script>、<img>、<iframe>、<link>等标签都可以加载跨域资源，而不受同源限制，但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
另外同源策略只对网页的HTML文档做了限制，对加载的其他静态资源如javascript、css、图片等仍然认为属于同源。

 

同源策略可以预防某些恶意行为，但是，实现合理的跨域请求对开发某些浏览器应用程序也是至关重要的。==》跨域访问和共享资源