浏览器同源策略(Same-Origin Policy)是一种安全机制, 它限制了一个网页文档或脚本如何与另一个源(协议,主机和端口)的资源进行交互。具体来说,如果一个网页的脚本试图
从不同源的网页中加载或修改资源(例如cookie、 localStorage、 XHR等), 那么浏览器会
阻止这个操作。
同源策略的目的是防止跨站点脚本攻击(Cross-Site Scripting, XSS)、点击劫持
(Clickjacking)和CSRF (跨站点请求伪造)等安全问题。如果没有同源策略的限制,攻击
者可以通过诱骗用户在恶意站点上执行脚本,从而盗取用户的敏感信息或者冒充用户向其他
站点发送恶意请求。
同源策略的限制是基于源的三个组成部分:协议、主机和端口。只有当两个资源的协议、主
机和端口完全相同,才被认为是同源的。
例如:https://www.example.com和https://www.example.com:443是同源的,
https://www.example.com和http://www.example.com不是同源的。
如果需要在不同源之间进行通信,可以使用跨域资
源共享(CORS)或者代理等技术来绕过同源策略的限制。