同源策略是由Netscape提出的浏览器上为安全性考虑实施的非常重要的安全策略。如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 现在所有支持JavaScript 的浏览器都会使用这个策略。
- 所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。
- 例如:
http://www.12306.cn
和https://www.12306.cn
,由于协议不一致,就不是同源。http://127.0.0.1:8080/test1
和http://localhost:8080/test1
也不属于同源,因为域名不一致。端口不同当然也不叫同源了。 - 如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
- 比如一个网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码,这种恶意的行为可能会让用户有不必要的损失。
示例
(http://localhost:8080/
和http://localhost:8081
由于端口不同而不同源):
http://localhost:8080/test.html
<html>
<head><title>test same origin policy</title></head>
<body>
<iframe id="test" src="http://localhost:8081/test2.html"></iframe>
<script type="text/javascript">
document.getElementById("test").contentDocument.body.innerHTML = "write somthing";
</script>
</body>
</html>
http://localhost:8081/test.html
<html>
<head><title>test same origin policy</title></head>
<body>
Testing.
</body>
</html>
在Firefox中会得到如下错误:
Error: Permission denied to access property 'body'