同源策略Same-origin policy

 同源策略Same-origin policy

同源策略Same-origin policy是Web應用的一種安全基礎策略。它規定同一源中，頁面包含的腳本能夠訪問該源下的其餘頁面的數據。只有當網址中的協議名、主機名和端口都相同，才認爲是同一源。例如，對於 http://www.baidu.com/search和 https://www.baidu.com/search，這兩個網址協議名不一樣，因此認爲不是同源。在實際應用中，該策略經過Cookie來斷定用戶的身份。 基於該策略，用戶以身份A訪問頁面Page1時，Page1頁面中包含的腳本Js1會同一身份請求同源的頁面PageB，PageB會承認身份A。若是用戶訪問非同源的網頁PageC，即便它包含相同腳本Js1（網址徹底相同），也不能以身份A去訪問PageB。這樣就能夠避免敏感信息的泄漏。 同源策略Same-origin policy雖然必定程度上解決了Web安全問題，但也引入了新的安全問題。只要是同源，就被認爲是安全的，哪怕同源網頁被引入其餘非同源的腳本。這就致使了跨站腳本XSS攻擊。因此說，同源策略Same-origin policy是XSS攻擊的基礎。這也是XSS攻擊時候，爲何要在同源的網頁中尋找注入點的緣由。