Cookie同源策略

同源策略（Same-Origin
Policy）是浏览器安全机制的一部分，用于限制一个源（域名、协议和端口的组合）的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。

关于Cookie的同源策略主要涉及以下四个方面：
域名匹配规则：

1.Cookie的域名必须匹配：

• Cookie在发送请求时，只会携带与请求的域名相匹配的Cookie。例如，如果Cookie是在example.com上设置的，它不会被发送到subdomain.example.com或anotherdomain.com。
  域名匹配是基于后缀的： 例如，如果Cookie的域名是.example.com，它将匹配subdomain.example.com。
  协议匹配规则：

2.Cookie的协议必须匹配：

• Cookie的安全属性（Secure）要求只有在使用HTTPS协议时才发送。如果一个Cookie是在HTTPS下设置的，它不会被发送到HTTP的请求中。
  端口匹配规则：

3.Cookie的端口必须匹配：

• Cookie是与域名和协议一起绑定的，而不是与端口相关的。如果一个Cookie是在example.com上设置的，它将匹配example.com:80和example.com:443，但不会匹配example.com:8080。

4.JavaScript访问限制：

• JavaScript只能访问同源Cookie： 使用JavaScript的document.cookie API只能访问与当前网页具有相同源的Cookie。这意味着即使两个页面的域名相同，如果它们的路径或协议不同，JavaScript也无法访问对方的Cookie。

同源策略的存在旨在防止横向越权攻击，确保来自不同源的网站不能轻易访问对方的敏感信息，包括Cookie。虽然这增强了浏览器的安全性，但在某些情况下，开发人员可能需要考虑跨域资源共享（CORS）等机制来允许有限度的跨域交互。