概述
什么是同源?
同源只三个相同:
- 协议相同
- 域名相同
- 端口相同
什么是同源策略 SOP?
两个相同源之间可以相互访问资源,而不同源之间不可以.
为什么有同源策略?
笼统的说是为了保证用户信息的安全,防止恶意的网站窃取篡改数据
详细来讲主要是为了保护cookie.cookie保存了登录凭证,防止恶意站点通过脚本获取本地的cookie并且发送给攻击者,攻击者利用cookie登录网站干坏事.
同源策略限制的范围?
对于非同源的网站:
- 无法共享 cookie localStorage indexDB
- dom元素
- ajax请求
- 通过flash发送http请求
有了同源策略,网站就安全了吗?
- XSS
- CSRF
- clickJacking
