Web安全学习笔记之一

浏览器基本策略：同源策略

　　同源策略规定：不同域的客户端脚本在没有明确授权的情况下，不能读写对方的资源。

　　同域与不同域：如http://www.text.com与https://www.text.com不同域，因为HTTP与HTTPS协议不同；http://www.text.com与http://fooying.text.com不同域，域名不同；http://www.text.com与http://text.com顶级域域名也不同；http://www.text.com与http://www.text.com：81不同域，因为默认端口为80端口。http://www.text.com与http://www.text.com/fying同域，只是多了目录，协议、域名、端口相同。

　　授权：HTTP响应头设置

　　Access-Control-Allow-Origin:http://www.fooying.text.com即允许不同域的http://www.fooying.text.com访问。

iframe的沙河框架：

Flash的安全沙箱：

内容安全策略（CSP）：