如何理解javascript同源策略?

如题,如果能通俗易懂地讲解一下更好。

阅读 4.9k
4 个回答
新手上路,请多包涵

参考了一些资料,这里简单自己回答一下。
首先,域名同源是指协议(http/https)、主机名、端口号相同,才能叫做域名同源。
javascript同源策略的一个比较重要的限制是运用在ajax上。一个页面的js只能向域名同源的服务器发起ajax请求,比如http://a.com/index.html 上的js,就不能对http://b.com/restapi/user/info?id=1发起ajax请求。

概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。

这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议。
指一段脚本只能读取来自同一来源的窗口和文档的属性。

为什么要有同源限制?

我们举例说明:比如一个黑客程序,他利用Iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过Javascript读取到你的表单中input中的内容,这样用户名,密码就轻松到手了。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题