web安全面试常见问题（来自微博）

问题出处

链接

image.png

部分个人回答

1. 解释一下同源策略?

如果两个页面的协议，端口和域名相同，则可认为是同源。

2. 哪些东西是可以从同源获取的？

• 读取cookie， LocalStorage 和 IndexDB
• 读取DOM元素
• 发送AJAX请求

3. 如果子域名和顶级域名不同源，哪里可以设置成同源?

大概就是子域相同，主域不同的意思吧，可以通过在两房都设置document.domain来解决跨域。

4. 如何设置可以解决跨域请求？jsonp是做什么的？

• 主域相同时跨域，可以像上面那样设置document.domain.
• 主域不同时，可以通过jsonp，websocket，在服务端设置CORS进行跨域请求。H5新增window.postMessage方法解决跨域请求。

通过