同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源。
同域要求同协议 同域名 同端口
hhtps://www.baidu.com 和 http://www.baidu.com 不同域
http://baidu.com 和 hhtp://www.baidu.com 不同域
http://www.baidu.com和 http://www.baidu.com:8080不同域
授权:只有攻击者站点接受到受害者站点返回的Http响应头 Access-Control-Allow-orign:攻击者的域名,攻击者才能通过AJAX对受害者站点上的数据进行读写操作。
读写:只能是读写,可读是不行的,可写也是不行的。
资源:指的是受害者站点在客户端的资源。资源一般有:HTTP消息头,整个DOM树,浏览器存储(cookies flash cookies localStorage)