浏览器有一个很重要的概念——同源战略(Same-Origin Policy)。所谓同源是指，域名，协议，端口相同。不同源的客户端脚本(javascript、ActionScript)在没清晰授权的情况下，不能读写对方的资源。

简略的来说，浏览器答应包含在页面A的脚本拜访第二个页面B的数据资源，这一切是建立在A和B页面是同源的基础上。
同源战略是由Netscape提出的一个闻名的安全战略，现在一切支撑JavaScript 的浏览器都会运用这个战略。
实际上，这种战略仅仅一个标准，并不是强制要求，各大厂商的浏览器仅仅针对同源战略的一种完成。它是浏览器最中心也最基本的安全功用，假如缺少了同源战略，则浏览器的正常功用或许都会受到影响。
假如Web国际没有同源战略，当你登录黑客接单渠道账号并翻开另一个站点时，这个站点上的JavaScript能够跨域读取你的?砂踩??撕攀?荩?庋??鯳eb国际就无隐私可言了。
情形想象
将一个校园内的学生看作不同源的个别。尽管一个班级里边有许多学生，可是他们都是互不相关的个别。学生家长恳求教师供给同学们的学习成绩陈述，教师会告知家长，你只能够检查自家孩子的学习成绩陈述。
同理，校园收到恳求要对一个学生的学习成绩进行点评，那么在出具点评陈述之前，校园需求对恳求者的身份进行承认。
这便是与浏览器密切相关的同源战略
持续假定，校园答应任何人不经过身份承认检查学生的学习成绩陈述，这就和浏览器没有同源战略相同。同源战略机制为现代广泛依赖于cookie保护用户会话的Web浏览器界说了一个特别的功用，严厉阻隔不相关的网站供给的内容，避免客户端数据机密性或完整性丢掉。
同源战略重要吗？
假定你现已成功登录Gmail服务器，一起在同一个浏览器拜访歹意站点（另一个浏览器选项卡）。没有同源战略，进犯者能够经过JavaScript获取你的邮件以及其他灵敏信息，比如说阅览你的私密邮件，发送虚伪邮件，看你的聊天记录等等。
将Gmail替换为你的银行帐户，问题就大条了。
SOP和DOM：同源战略与文档目标模型
当咱们议论怎么运用JavaScript拜访DOM时，咱们考虑了URL的三个要素（主机名 + 拜访协议 + 端口号）假如不止一个站点具有相同的主机名、拜访协议、端口号，那么他是能够成功拜访到DOM的。但是，IE仅仅仅仅验证主机名以及拜访协议，疏忽了端口号。
在大多数情况下，多个站点或许在同一根域（获取源页面的DOM）。
例如，cart.httpsecure.org需求拜访login.httpsecure.org来进行身份验证。在这种情况下，网站能够运用document.domain特点答应相同域下的其他站点进行DOM交互。假如你答应cart.httpsecure.org与login.httpsecure.org进行交互，开发者需求在两个站点的根域设置document.domain特点。
document.domain = “httpsecure.org”
这表明在当前页面，httpsecure.org下的任何站点都能够拜访DOM资源。当你这样设置后，你应该时间保持警惕！比如说你布置在 *** 上的另一个站点about.httpsecure.org，假定这个站点存在缝隙，那么cart.httpsecure.org这个站点也或许存在缝隙而且能够拜访这个源。
假如进犯者能够上传一些歹意代码，那么about.httpsecure.org也会取得拜访其他站点的权限。
SOP和CORS：同源战略与跨源资源共享
跨源资源共享（CORS）是一种答应多种资源（图片，Css，字体，JavaScript等）在一个web页面恳求域之外的另一个域的资源的机制。
运用XMLHttpRequest目标建议HTTP恳求就必须恪守同源战略。详细而言，Web运用程序能且只能运用XMLHttpRequest目标向其加载的源域名建议HTTP恳求，而不能向任何其它域名建议恳求。跨源资源共享这种机制让Web运用服务器能支撑跨站拜访操控，然后使得安全地进行跨站数据传输成为或许。
假如httpsecure.org源回来下面的呼应头，一切httpsecure.org的子域与根域就翻开了一个双向的通讯通道:
Access-Control-Allow-Origin: *.Httpsecure.org
Access-Control-Allow-Methods: OPTIONS, GET, POST, HEAD, PUT
Access-Control-Allow-Headers: X-custom
Access-Control-Allow-Credentials: true
在上面的呼应头中，榜首行界说了双向通讯通道，第二行界说了恳求能够运用OPTIONS, GET, POST, PUT, HEAD中的任何办法，第三行则是界说的呼应头，最终一行答应经过身份验证的资源进行通讯。
SOP与plugins：同源战略与插件
注释：假如在httpsecure.org:80装置插件，那么只能答应插件拜访httpsecure.org:80
因为不同的绕过办法，在Java，Adobe Reader，Flash，Silverlight中完成同源战略是非常苦楚的。大多数浏览器都运用他们自己的办法完成同源战略，假如处在同一个IP地址，一些Java版别会以为两个不同的域名运用同一个同源战略。这关于虚拟主机环境（多个域名运用同一个IP）来说或许是一个毁灭性的灾祸。
议论Flash player以及PDF reader插件，他们都有一个悠长的缝隙前史。这些缝隙大多数都是答应进犯者长途履行恣意代码，这远比同源战略绕过更可怕！
在Flash中，你能够经过crossdomain.xml办理跨源通讯，该文件一般在根目录下
xml version="1.0"?>
 permitted-cross-domain-policies="by-content-type"/>
 domain="*.httpsecure.org" />
运用这段代码的httpsecure.org子域能够完成站点的双向通讯，Crossdomain.xml还支撑Java以及JavaScript插件。
SOP与UI redressing：同源战略与界面假装
点击绑架（clickjacking）是一种在网页中将歹意代码等躲藏在看似无害的内容（如按钮）之下，并诱运用户点击的手法。该术语最早由雷米亚·格罗斯曼（Jeremiah Gros *** an）与罗伯特·汉森（Robert Hansen）于2008年提出。这种行为又被称为界面假装（UI redressing）。关于进犯者同源战略绕过，办法各有不同。事实上一部分进犯仍是使用同源战略没有履行。
Java同源战略绕过
在Java1.7u17版别和1.6u45版别中，假如两个主机名解析到同一个IP地址，那么就不会履行同源战略（Httpsecure.org和 httpssecure.com解析到同一个IP地址）。Java applet（是一种在Web环境下，运转于客户端的Java程序组件，每个Applet的功用都比较单一）能够处理跨院恳求和读取呼应信息。

[1] [2]  黑客接单网