浏览器同源策略详解

概念

浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指，域名，协议，端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权(通常是指后端给予你权力)的情况下。不能读写对方的资源。简单的来说，浏览器不允许包含在腾讯页面的脚本访问阿里巴巴页面的数据资源，会受到同源策略的限制。
例如:http://www.example.com/dir/page.html与下面的url同源

• http://www.example.com/dir2/other.html

与下面的url不同源

• http://example.com/dir/other.html
• http://v2.www.example.com/dir/other.html
• http://www.example.com:81/dir/other.html
• https://www.example.com/dir/page.html

url介绍

url全称是统一资源定位符(Uniform resource positioning)，它的结构像这样：协议://域名（端口号、参数、查询等）/path，下面就以http://zhidao.baidu.com/web/index.html分别简单说一下它组成的各个部分。

• 协议:http等
• 域名: zhidao.baidu.com
• 端口: 端口是80（默认端口可以省略）
• path: 即在服务器上文件的路径，该例子中为/web/index.html

需要再强调一遍的是，这里的同源指的指同协议，同域名和同端口,而且https默认端口是443,http默认是80。

域名

在网络上，我没每一台设备都以ip,作为唯一标志，但是由于ip的难记忆性、可变性，导致用户体验及为不好，然后就出现了我们的域名，像我们平时接触到的baidu.com iqiyi.com等都叫做域名，每一个如果我们像为ip绑定域名，首先我们需要申请一个域名，然后通过dns解析绑定我们的ip和域名。这样我们以后想在浏览器中使用我们的ip,就可以直接使用我们的域名了。

域名分级

域名一般会分为一级域名、二级域名、三级域名等等，一般含有几个.,我们就称之为几级域名，并且右边的域名等级大于左边的域名等级，例如:

• baidu.com 一级域名， .com为顶级域名
• zhidao.baidu.com 二级域名， .com为顶级域名，.baidu为二级域名。

www拓展(历史问题)

最开始，Internet提供的主要服务有万维网（WWW）、文件传输（FTP）、电子邮件（E-mail）、远程登录（Telnet）等。也就是说，那个时候的www（World Wide Web）是标识这是一个需要你用浏览器来访问的网页服务，而不是需要你用telnet访问的bbs，或者ftp工具访问的文件传输服务。所以那个时候，网站主页的域名前面要用www。
现在我们已经可以不用写www了（不加www也叫裸域名），但是既然存在就有它的好处，如下

• 不加www只能解析A记录(映射ip地址)，加了还可以解析C记录（起别名例如baidu.com）
• cookie范围越大

常见域名

com org net 属于顶级域名，是在全世界范围内解析的，cn hk 是在一个地区解析的,比如

• .cn 中国
• .com （商业机构）；
• .net（从事互联网服务的机构）；
• .org （非赢利性组织）；
• .com.cn （国内商业机构）；
• .net.cn （国内互联网机构）；
• .org.cn （国内非赢利性组织）；