[js]浏览器同源策略(same-origin policy)

浏览器的同源策略
浏览器同源政策及其规避方法

什么是同源策略

A网页设置的 Cookie，B网页不能打开，除非这两个网页"同源"。所谓"同源"指的是"三个相同"。

https:// www.baidu.com: 80
协议相同 域名相同       端口相同

http://www.example.com/dir2/other.html  ：同源
http://example.com/dir/other.html       ：不同源（域名不同）
http://v2.www.example.com/dir/other.html：不同源（域名不同）
http://www.example.com:81/dir/other.html：不同源（端口不同）

同源策略规定

- 不同源cookie不能互相获取: 保护cookie防止csrf攻击
- ajax不能异源请求

django的seesion和cookie机制-理解csrf攻击流程
django处理csrf攻击的方法

同源政策的目的

同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

设想这样一种情况：A网站是一家银行，用户登录以后，又去浏览其他网站。如果其他网站可以读取A网站的 Cookie，会发生什么？

很显然，如果 Cookie 包含隐私（比如存款总额），这些信息就会泄漏。更可怕的是，Cookie 往往用来保存用户的登录状态，如果用户没有退出登录，其他网站就可以冒充用户，为所欲为。因为浏览器同时还规定，提交表单不受同源政策的限制。

由此可见，"同源政策"是必需的，否则 Cookie 可以共享，互联网就毫无安全可言了。

规避同源策略

同源政策规定，AJAX请求只能发给同源的网址，否则就报错。

除了架设服务器代理（浏览器请求同源服务器，再由后者请求外部服务），有三种方法规避这个限制。

JSONP
WebSocket
CORS

参考: ajax-异源请求jsonp

同源小结

- 同源是指 https:// www.baidu.com:80
           协议     域名          端口 三元素相同
- 不同源cookie不能互相获取
- ajax不能异源请求(感觉这是被扫黄时候误打了.)

附:
浏览器同源策略(same-origin policy)
csrf攻击防御核心点总结

django的cookie和session操作-7天免登录
flask操作cookie&django的seesion和cookie机制