1. 同源策略
如果两个页面的协议,端口和域名都相同,则两个页面具有相同的源(origin)。
The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin.
同源策略是一种安全机制,它限制了非同源脚本之间的交互方式。
例如,在使用XMLHttpRequest或
这些交互通常分为三类:
(1)通常允许跨域写操作(Cross-origin writes)。例如链接(links),重定向以及表单提交。
(2)通常允许跨域资源嵌入(Cross-origin embedding)。
(3)通常不允许跨域读操作(Cross-origin reads)。但常可以通过内嵌资源来巧妙的进行读取访问。
例如,可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法,或 availability of an embedded resource。
以下是可能嵌入跨域的资源的一些示例:
(1) 标签嵌入跨域脚本。语法错误信息只能在同源脚本中捕捉到。
(2) 标签嵌入CSS。
(3)
(4) 和 嵌入多媒体资源。
(5), 和 的插件。
(6)@font-face引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。
(7) 和