同源策略是一种浏览器安全机制,用于限制一个源的文档或脚本如何与另一个源的资源进行交互。源由协议(如HTTP或HTTPS)、域名和端口号组成。如果两个URL的协议、域名和端口都相同,则它们具有相同的源。
同源策略主要影响以下几个方面:
- Cookie、LocalStorage 和 IndexedDB:这些数据存储机制只能访问相同源的文档中的信息。
- DOM 操作:如果两个网页不是同源的,那么一个网页的JavaScript代码不能操作另一个网页的DOM。
- AJAX 请求:浏览器的XMLHttpRequest和Fetch API不允许向非同源的服务器发送请求,除非服务器端设置了适当的CORS(跨源资源共享)策略。
同源策略的目的是防止恶意文档窃取数据或对另一个源的资源进行未授权的访问。然而,这限制了Web应用程序的灵活性,因为现代Web应用经常需要跨域交互。为了解决这个问题,CORS(Cross-Origin Resource Sharing)协议被引入,它允许服务器明确允许某些跨源请求。
例如,如果一个网页需要从另一个域的服务器获取数据,服务器可以设置响应头Access-Control-Allow-Origin,指定哪些源可以访问其资源。这样,浏览器就会允许跨源请求。如果没有设置这个响应头,浏览器会根据同源策略阻止请求。
