摘要：同源策略及跨域訪問(wèn)同源策略同源策略約束了兩個(gè)域之間資源的加載方式，是一個(gè)很重要的安全機(jī)制用來(lái)隔離那些有潛在安全隱患的文檔。

同源策略（Same-origin policy）約束了兩個(gè)域之間資源的加載方式，是一個(gè)很重要的安全機(jī)制用來(lái)隔離那些有潛在安全隱患的文檔。

一個(gè)源由一個(gè)URL的協(xié)議（protocol）、主機(jī)（host）和端口（port）進(jìn)行定義。如果兩個(gè)頁(yè)面擁有相同的協(xié)議、主機(jī)和端口一致的話，我們就可以稱它們?yōu)橥?。下面的表格比較了不同的URL跟http://store.company.com/dir/page.html這個(gè)URL的同源情況：

同源策略控制了兩個(gè)源之間的交互，例如你使用XMLHttpRequest發(fā)起一個(gè)請(qǐng)求，或者使用元素加載一張圖片，就會(huì)產(chǎn)生兩個(gè)源之間的交互。而當(dāng)兩個(gè)源不相同時(shí)，有些交互會(huì)被允許，而有些則不被允許。而不允許的情況，就是我們常說(shuō)的跨域訪問(wèn)問(wèn)題。那什么情況下不同源的交互會(huì)被允許，什么情況下又不被允許呢？大致可以分為如下的情況：

鏈接、跳轉(zhuǎn)和表單提交這些在跨域的情況下都是被允許的。例如調(diào)用支付寶接口進(jìn)行支付就是典型的跨域表單提交的場(chǎng)景，這種跨域的調(diào)用是被允許的。但是這個(gè)很容易被利用來(lái)進(jìn)行CSRF攻擊，所以我們的表單提交需要做好這方面的防護(hù)。

跨域的資源內(nèi)嵌是被允許的。下面是一些資源內(nèi)容的例子：

使用加載Javascript。只有同源的腳本在語(yǔ)法錯(cuò)誤時(shí)會(huì)顯示錯(cuò)誤信息。

使用加載CSS。跨源的CSS文件要求使用正確的Content-Type 響應(yīng)頭。

使用加載圖片。

使用和加載媒體文件。

使用