维基百科的解释
In computing, the same-origin policy is an important concept in the web application security model. Under the policy, a web browser permits scripts contained in a first web page to access data in a second web page, but only if both web pages have the same origin. An origin is defined as a combination of URI scheme, host name, and port number. This policy prevents a malicious script on one page from obtaining access to sensitive data on another web page through that page's Document Object Model
笔者不才,翻译一下【重点信息已加粗】
在计算机科学中,同源策略是Web应用安全模型中的一个重要概念。根据该策略,Web浏览器允许包含在第一网页中的脚本【比如Ajax】访问第二网页中的数据,但是仅当这两个网页同源时才允许。而‘源’【英文原文为origin】被定义为是一个URI协议、域名和端口号的组合。此策略可防止一些网页上的恶意脚本通过该页面的DOM接口获取对另一个网页上敏感数据的访问
Wiki的解释非常详尽,我们可以做一个简要的总结来阐述到底什么是同源策略
- 同源是什么意思:同协议、同域名、同端口号就是同源
- 同源策略的应用场景:web安全方面
- 同源策略的内容:当两个网页同源时,可以通过接口互相访问彼此的数据
- 同源策略的作用:防止一些网页上的恶意脚本通过该页面的DOM接口获取对另一个网页上敏感数据的访问
题外话1:是谁主导了同源策略
值得注意的是:浏览器执行了同源策略,以保证web安全。
因此,如果我们不用浏览器来加载网页,就不会有同源策略——这就引出了跨域的概念,我们以后再讲。。
题外话2:现在同源策略主要针对谁?
主要针对的就是牛逼哄哄的Ajax :)
参考:Same-origin policy【可能需要科学上网】
网友评论