同源策略和跨域的简单理解

同源策略和跨域的简单理解

摘要

同源策略的概念要追溯到1995年的网景浏览器。所有的现代浏览器都在一定程度上实现了同源策略，它作为一个重要的安全基石，虽然不是一个明确规范，但是经常为某些web技术或者某些机制（例如XMLHttpRequest）扩展定义大致兼容的安全边界。

同源策略下，web浏览器允许第一个页面的脚本访问第二个页面里的数据（只有在两个页面有相同的源时，源是由URI，主机名，端口号组合而成的）。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。

对于普遍依赖于cookie维护授权用户session的现代浏览器来说，这种机制有特殊意义，客户端必须在不同站点提供的内容之间维持一个严格限制，以防丢失数据机密或者完整性。