同源策略

web浏览器包含了JavaScript解释器，也就是说一旦载入Web页面，就可以任意的js代码在计算机里执行。存在安全隐患。对此做出限制。

1.第一条防线：客户端js没有权限写入或删除客户计算机上的任意文件或列出任意目录。意味着js程序不能删除数据或植入病毒。

2.第二条防线：在自己支持的某些功能上施加限制。

a.js程序可以打开一个新的浏览器窗口，但是为了防止广告↑滥用弹出窗口，很多浏览器限制了这一功能，只有为了响应鼠标事件单击这样的用户出发事件才能使用。

b.js程序可以关闭自己打开的浏览器窗口，但是不允许它不经过用户确认就关闭其他窗口。

c.HTML FileUpload元素的value属性是只读的。如果可以设置这个属性，脚本就能设置它为任意期望的文件名，从而导致表单上传指定文件的内容到服务器。

d.脚本不能读取从不同服务器载入的文档内容，除非这个就是包含该脚本的文档。为了防止脚本窃取其他页面用户输入。

同源策略是对JavaScript代码能够操作那些Web内容的一条完整的安全限制。

脚本只能读取和所属文档来源相同窗口和文档的属性。

恶意脚本可能会打开一个空的窗口，欺骗用户进入并使用这个窗口在内网上浏览文件。恶意脚本就能够读取窗口的内容并将其发送回自己的服务器。

不严格的同源策略：为了支持多域名站点（order.example.com/catalog.example.com），可以使用Document对象的domain属性。默认情况下，属性domain存放的是载入文档的服务器主机名。 初始值字符串设置为example.com。另一种技术，叫跨文档消息，允许来自一个脚本可以传递文本消息到另一个文档里的脚本，不管脚本的来源是否不同。调用Window对象上的postMessage()方法。

跨站脚本，也叫XSS，这个术语用来表示一类安全问题，攻击者向目标web站点注入HTML标签或者脚本。防止XSS攻击是服务器端web开发者一项基本工作。

更暴力的攻击：拒绝服务攻击。