瀏覽器實施的一種安全機制
同源策略(Same-Origin Policy)是Web安全的核心概念之一,是瀏覽器實施的一種安全機制,旨在限制不同源之間的互動。這項策略規定,只有在協定、域名(或IP位址)和連線埠號三者均相同的情況下,一個網頁或腳本才能訪問另一個網頁的內容。
同源策略的主要作用是保護用戶信息免受不同源的網頁訪問,確保了敏感數據(如用戶登錄狀態、個人信息等)的安全,防止了惡意腳本對數據的非法訪問和操作。同源策略限制了從一個源載入的文檔或腳本如何與來自另一個源的資源進行互動,這包括但不限於Cookie、LocalStorage、IndexedDB等存儲性資源,以及XMLHttpRequest、fetch、WebSocket等傳送HTTP請求的方法。
同源策略的目標包括防止信息洩露、跨站腳本攻擊(XSS)和跨站請求偽造攻擊(CSRF)。為了實現跨域資源共享和跨文檔訊息傳遞,瀏覽器提供了一些針對同源策略的例外機制,如CORS(跨來源資源共享),允許在滿足一定條件下進行跨域請求。