一,同源策略
1,定义:
同源策略/SOP(Same originpolicy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。
2、所谓同源是指"协议+域名+端口"三者相同
二,跨域
跨域是由浏览器的同源策略引发的,浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。
三,解决方式
jsonp
只支持get请求
页面加载后就跨域:
在script中的src标签周填入域名,返回页面中的变量或函数;
iframe
在本域名下设置一个后端文件作为中转,利用window.top.name可以调用顶层页面的变量或函数,将该文件作为src传入不同域名下的后端文件。
CORS
在简单请求的情况下,在请求头中加入
Access-Control-Allow-Origin :指示请求的资源能共享给哪些域,具体的域名或者*表示所有域。
