### 同源策略(Same-origin Policy) * 同源策略是 Netscape 提出的一个著名的安全策略 * 同源策略是浏览器最核心最基础的安全策略 * 现在所有的可支持 Javascript 的浏览器都会使用这个策略 * web构建在同源策略基础之上，浏览器对非同源脚本的限制措施是对同源策略的具体实现 #### 同源策略的含义 * DOM 层面的同源策略：限制了来自不同源的”Document”对象或 JS 脚本，对当前“document”对象的读取或设置某些属性 * Cookie和XMLHttprequest层面的同源策略：禁止 Ajax 直接发起跨域HTTP请求（其实可以发送请求，结果被浏览器拦截，不展示），同时 Ajax 请求不能携带与本网站不同源的 Cookie。 * 同源策略的非绝对性：`<script><img><iframe><link><video><audio>`等带有src属性的标签可以从不同的域加载和执行资源。 * 其他插件的同源策略：`flash、java applet、silverlight、googlegears`等浏览器加载的第三方插件也有各自的同源策略，只是这些同源策略不属于浏览器原生的同源策略，如果有漏洞则可能被黑客利用，从而留下XSS攻击的后患 #### 同源的具体含义 * 域名、协议、端口有一个不同就不是同源，三者均相同，这两个网站才是同源