(一)同源策略:
源(Origin)
浏览器最核心最基础的安全功能,web建立在同源策略之上。
作用:限制了不同Origin之间的document和脚本,相互间不能干扰。
影响Origin的因素有host(域名或IP地址)
下方例子在a.com中加载了b.com的b.js,那么它的Origin就是a.com。
<script src = https://b.com/b.js></script>
以下标签不受同源策略影响可跨域请求资源。
<scritp> <img> <iframe> <link>
实际上每个带有src属性的标签都会发出一次get请求。并且浏览器会限制其js,使其不能返回读写内容。
(二)SandBox沙箱隔离
如果允许用户上传php,java,python这些语言代码,为了防止代码破坏系统环境,或代码间的相互干扰应该设计一个SandBox来进行隔离。
google chrome 浏览器实现了相对完整的SandBox。