什么是同源策略？

Question

关键词：同源策略限制了什么资源

同源策略（Same-Origin Policy）是一种浏览器安全机制，用于限制不同源（域名、协议、端口）之间的交互。它是一种重要的安全措施，用于保护用户的隐私和安全，防止恶意网站通过跨域请求获取用户的敏感信息或进行恶意操作。

同源策略要求网页资源（如 JavaScript、CSS、图片等）只能与来源相同的资源进行交互，即只能与相同域名、相同协议和相同端口的资源进行通信。例如，一个网页加载自 https://www.example.com 域名下的资源，就只能与同一域名下的其他资源进行交互，无法直接访问其他域名的资源。

同源策略主要限制了以下几种行为：

1. DOM 访问限制：不同源的页面无法通过 JavaScript 等方式直接访问对方的 DOM 元素，即无法获取或修改对方页面的内容。
2. Cookie、LocalStorage 和 IndexDB 限制：不同源的页面无法读取对方设置的 Cookie、LocalStorage 和 IndexDB 存储。
3. AJAX 请求限制：XMLHttpRequest、Fetch 等网络请求在跨域时受到限制，通常无法发送跨域请求。

同源策略的存在有效地防止了跨站脚本攻击（XSS）和跨站请求伪造（CSRF）等安全威胁。如果需要在不同源之间进行数据交互，可以通过服务器端的代理或使用 CORS（跨源资源共享）等技术来实现。

需要注意的是，同源策略只是浏览器的安全策略之一，而并非所有的网络请求都受到同源策略的限制。例如，通过 <script> 标签引入的外部 JavaScript 文件、通过 <img> 标签加载的图片等资源是不受同源策略限制的。此外，一些特定的标记，如 <a> 标签的 href 属性和 <form> 标签的 action 属性，也存在一些允许跨域的规则。