为什么img\link\script标签不受同源策略限制

Question

如标题描述：同源策略为了减少xss\CSRF等攻击，但是通过这些是可以获得用户cookie的,还是造成了信息泄露，为什么不限制这些标签呢？

Answer 1

不能完全限制，否则 CDN 和基于 Cookie 的负载均衡就没法做了，还有众多赖以生存的搜索引擎广告主也没法活了（谷歌自己就是全球最大的广告主，你说它能自己阉割自己吗）。

正因为如此，所以 Cookie 才引入 HTTP Only 来解决你说的问题啊。

Answer 2

cookies 不受同源策略限制，主要是历史原因，因为 cookies 在同源策略之前的广泛使用了，直接限制会有兼容性问题，所以后来有了更灵活的 Content-Security-Policy，网站可以自己定制需要的策略。

可以获得用户 cookie

“用户” cookies 是什么？

例如我在 a.com 设了 cookies A=1，然后引用一个 b.com 的图片，那 b.com 的服务端能获取到 A 这个 cookies 吗？

答：不行的，因为 cookies 是分域名发送的，浏览器请求 b.com 的图片时是不会把 a.com 的 cookies 发到 b.com 的服务端。

但是 b.com 自己设的 B=2，b.com 的服务端是可以获取到的（就是这样实现了广告跟踪）。

因为 cookies 本来就是按域名限制的，加载资源（图片、样式、脚本）是不会泄漏“用户 cookies”，只是有隐私问题（广告跟踪）。

(当然脚本比较特殊，需要设置 cookie 的 HTTP Only 属性，禁止脚本访问 cookies。更严格网站的还会通过 Content-Security-Policy 限制跨域 XHR 发送、限制加载脚本）

另外，就算没有 cookies，CDN、负载均衡还是可以做的，所以这些不是主要原因。