Web浏览器的同源策略：深入解析与实战技巧

同源策略（Same-Origin Policy，SOP）是Web安全的基础基石，旨在限制一个源上的文档或脚本如何与另一个源上的资源进行交互。这一策略有效地防止了恶意网站访问敏感数据，保障了Web应用的安全。本文将全面剖析同源策略的核心概念、其背后的实现机制，并通过一系列示例演示如何在实际开发中遵循这一策略，同时分享一些绕过限制的合法技术，如CORS（跨源资源共享）和POSTMessage。

同源策略的基本概念

同源策略规定，只有当两个资源拥有相同的协议（http或https）、域名和端口时，它们才被视为来自同一个源。例如，http://example.com:8080 和 http://example.com:80 不被认为是同源的，因为端口号不同。同源策略主要影响以下几个方面：

• 脚本执行：不能读取或修改来自不同源的DOM。
• AJAX请求：默认情况下，XMLHttpRequest和Fetch API只能向同源的服务器发送请求。
• Cookie访问：不能读取或设置不同源的Cookies。

示例一：检测源与目标是否同源

在JavaScript中，我们可以通过比较URL来判断两个资源是否来自同一源：

function isSameOrigin(urlA, urlB) {
    const originA = new URL(urlA).origin;
    const originB = new URL(urlB).origin;
    return originA === originB;
}

console.log(isSameOrigin('http://example.com', 'http://example.com/path')); // true
console.log(isSameOrigin('http://example.com', 'https://example.com')); // false

示例二：尝试读取跨源资源

假设我们有两个HTML页面，分别位于http://example.com和http://other.com。如果从http://example.com的页面尝试读取http://other.com页面中的内容，将触发安全错误：

<!-- example.com/index.html -->
<script>
    const iframe = document.createElement('iframe');
    iframe.src = 'http://other.com';
    document.body.appendChild(iframe);

    // 尝试访问其他源的DOM
    setTimeout(() => {
        try {
            console.log(iframe.contentWindow.document.documentElement.innerHTML);
        } catch (error) {
            console.error('Cross-origin access denied:', error);
        }
    }, 1000);
</script>

示例三：使用CORS进行跨源请求

CORS是一种安全机制，允许服务器明确指定哪些源可以访问其资源。服务器通过响应头Access-Control-Allow-Origin来实现这一点：

// 发起跨源请求
fetch('http://other.com/data')
    .then(response => response.json())
    .then(data => console.log(data))
    .catch(error => console.error('Fetch error:', error));

服务器响应：

HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
...

示例四：利用POSTMessage进行跨源通信

window.postMessage允许不同源的窗口之间进行通信，只要接收方监听并处理message事件：

// example.com/index.html
window.addEventListener('message', event => {
    if (event.origin !== 'http://other.com') return;
    console.log('Received message:', event.data);
});

// other.com/index.html
const targetWindow = document.querySelector('iframe').contentWindow;
targetWindow.postMessage({ type: 'GREETING', data: 'Hello from other.com' }, 'http://example.com');

不同角度的功能使用思路

1. 利用CORS预检请求

对于PUT、DELETE等非简单请求，浏览器会先发送一个预检请求（OPTIONS方法），服务器需要通过Access-Control-Allow-Methods和Access-Control-Allow-Headers响应头来允许特定的请求方法和头部。

2. 使用JSONP进行跨域数据获取

虽然JSONP不是一种安全的方法，但在CORS不被支持的情况下，可以作为一种备选方案。它利用了<script>标签不受同源策略限制的特点：

<script src="http://other.com/data?callback=myCallback"></script>

<script>
    function myCallback(data) {
        console.log(data);
    }
</script>

实际工作中的使用技巧

1. 开发环境与生产环境的CORS策略

在开发环境中，可以使用代理服务器或开发服务器插件来绕过CORS限制，但在生产环境中，必须正确配置服务器的CORS策略。

2. 跨域资源共享的最佳实践

• 限制Access-Control-Allow-Origin到实际需要的源，避免使用*。
• 对于敏感操作，使用Access-Control-Allow-Credentials并确保请求携带Cookie。

同源策略是Web安全的重要组成部分，理解并正确应用它对于构建健壮的Web应用程序至关重要。随着Web技术的演进，同源策略也在不断完善，新的标准如CORS提供了更灵活的跨域通信方式。开发者应当持续关注这些变化，确保自己的应用既安全又高效。

***
>欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。
>***
>推荐：[DTcode7](https://blog.csdn.net/black_cat7?spm=1010.2135.3001.5343)的博客首页。
>一个做过前端开发的产品经理，经历过睿智产品的折磨导致脱发之后，励志要翻身农奴把歌唱，<font color='red'>一边打入敌人内部一边持续提升自己</font>，为我们广大开发同胞谋福祉，<font color='red'>坚决抵制睿智产品折磨我们码农兄弟！</font>
>***
><table><tr><th><b><font color='red'>专栏系列（点击解锁）</font></b><th><b><font color='red'>学习路线(点击解锁）</font></b><th><b><font color='red'>知识定位</font></b><tr><td><a href=https://blog.csdn.net/black_cat7/category_11327978.html target=_blank rel='noopener noreferrer '>《微信小程序相关博客》</a><td>持续更新中~<td align=left>结合微信官方原生框架、uniapp等小程序框架，记录请求、封装、tabbar、UI组件的学习记录和使用技巧等<tr><td><a href=https://blog.csdn.net/black_cat7/category_12588918.html target=_blank rel='noopener noreferrer '>《AIGC相关博客》</a><td>持续更新中~<td align=left>AIGC、AI生产力工具的介绍，例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结<tr><td rowspan=4><a href=https://blog.csdn.net/black_cat7/category_12663459.html target=_blank rel='noopener noreferrer '>《HTML网站开发相关》</a><td><a href=https://blog.csdn.net/black_cat7/category_12674047.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之html相关博客》</a><td align=left>前端基础入门三大核心之html板块的内容，<mark>入坑前端或者辅助学习的必看知识</mark><tr><td><a href=https://blog.csdn.net/black_cat7/category_11352548.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之JS相关博客》</a><td align=left>前端JS是JavaScript语言在网页开发中的应用，负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客，共同构建用户界面。<br>通过操作DOM元素、响应事件、发起网络请求等，JS使页面能够响应用户行为，实现数据动态展示和页面流畅跳转，是现代Web开发的核心<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674041.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之CSS相关博客》</a><td align=left>介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法，同时收集精美的CSS效果代码，用来丰富你的web网页<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674050.html target=_blank rel='noopener noreferrer '>《canvas绘图相关博客》</a><td align=left>Canvas是HTML5中用于绘制图形的元素，通过JavaScript及其提供的绘图API，开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力，使得前端绘图技术更加丰富和多样化<tr><td><a href=https://blog.csdn.net/black_cat7/category_11343005.html target=_blank rel='noopener noreferrer'>《Vue实战相关博客》</a><td>持续更新中~<td align=left>详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674092.html target=_blank rel='noopener noreferrer '>《python相关博客》</a><td>持续更新中~<td align=left>Python，简洁易学的编程语言，强大到足以应对各种应用场景，是编程新手的理想选择，也是专业人士的得力工具<tr><td><a href=https://blog.csdn.net/black_cat7/category_11463502.html target=_blank rel='noopener noreferrer '>《sql数据库相关博客》</a><td>持续更新中~<td align=left>SQL数据库：高效管理数据的利器，学会SQL，轻松驾驭结构化数据，解锁数据分析与挖掘的无限可能<tr><td><a href=https://blog.csdn.net/black_cat7/category_12671914.html target=_blank rel='noopener noreferrer '>《算法系列相关博客》</a><td>持续更新中~<td align=left>算法与数据结构学习总结，通过JS来编写处理复杂有趣的算法问题，提升你的技术思维<tr><td rowspan=3><a href=https://blog.csdn.net/black_cat7/category_12463107.html target=_blank rel='noopener noreferrer '>《IT信息技术相关博客》</a><td>持续更新中~<td align=left>作为信息化人员所需要掌握的底层技术，涉及软件开发、网络建设、系统维护等领域的知识<tr><td><a href=https://blog.csdn.net/black_cat7/category_12652565.html target=_blank rel='noopener noreferrer '>《信息化人员基础技能知识相关博客》</a><td align=left>无论你是开发、产品、实施、经理，只要是从事信息化相关行业的人员，都应该掌握这些信息化的基础知识，可以不精通但是一定要了解，避免日常工作中贻笑大方<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674074.html target=_blank rel='noopener noreferrer '>《信息化技能面试宝典相关博客》</a><td align=left>涉及信息化相关工作基础知识和面试技巧，提升自我能力与面试通过率，扩展知识面<tr><td><a href=https://blog.csdn.net/black_cat7/category_11376833.html target=_blank rel='noopener noreferrer'>《前端开发习惯与小技巧相关博客》</a><td>持续更新中~<td align=left>罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等<tr><td><a href=https://blog.csdn.net/black_cat7/category_12271105.html target=_blank rel='noopener noreferrer '>《photoshop相关博客》</a><td>持续更新中~<td align=left>基础的PS学习记录，含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结<tr><td><a href=https://blog.csdn.net/black_cat7/category_11412314.html target=_blank rel='noopener noreferrer '>日常开发&办公&生产【实用工具】分享相关博客》</a><td>持续更新中~<td align=left>分享介绍各种开发中、工作中、个人生产以及学习上的工具，丰富阅历，给大家提供处理事情的更多角度，学习了解更多的便利工具，如Fiddler抓包、办公快捷键、虚拟机VMware等工具</table> <br>
> 吾辈才疏学浅，摹写之作，恐有瑕疵。望诸君海涵赐教。望轻喷，嘤嘤嘤 <br>
> 非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益，纵其简陋未及渊博，亦足以略尽绵薄之力。倘若尚存阙漏，敬请不吝斧正，俾便精进！