所謂的同源就是要求這個URL的協議,主機,端口三部分都相同。一般我們說的域或者domain也是這裏的源的概念。
存在一種異常情況,javascript可以通過設置document.domain來修改主機和端口部分的值,如果這樣做,設置後的值就會作爲同源策略檢查的標準。比如對於http://blog.csdn.net/yanical和http://bbs.csdn.net/可以執行下面的javascript:
[javascript] document.domain = "csdn.net";
我們看到,javascript中只有主機的部分被設置了,沒有提到端口的部分。事實上,在執行上面的javascript的時候,端口也被設置了,且被設置成了null值。所以,對於http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都執行上面的javascript,那麼端口都被設爲了null,他們也就變成同源了。
同源策略最早被用來阻止一個源的js去獲取或者修改另外一個源的文檔屬性,這裏的javascript的源指的是加載javascript的HTML頁面的源,而不是javascript自己所在的源。
舉個例子,有兩個HTML和兩個javascript。test.html包含一個iframe引用了frame.html,且他們在不同的源;test.html還引用了兩個js,他們其中一個也和test.html的源不同;test.html的javascript還試圖去修改frame.html。
test.html:
[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe>
</body>
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script>
<script language="javascript" src="http://localhost/content/samedomain.js"></script>
<script>
document.write('------write from test.html');
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='------overwrite frame from test.html';
</script>
</html>
frame.html:
[html] <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<script>
document.write('------write from frame.html');
</script>
</body>
</html>
otherdomain.js:
[javascript] document.write('------write from otherdomain.js');
samedomain.js:
[javascript] document.write('------write from samedomain.js');
我們訪問http://localhost/test.html,執行結果如下:
可以看到,儘管test.html和otherdomain.js的源不同,但是因爲otherdomain.js是test.html加載進來的,所以他們還是同一個源。但是test.html和frame.html就不是同一個源,瀏覽器阻止了修改請求。
現在同源策略還被用來判斷一個XMLHTTPRequest(AJAX)是否合法,一個頁面只能向同一個源的服務器發起AJAX請求。
需要注意的是,Cookie的同源策略和javascript略有不同,就是Cookie忽略了協議這一項,所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。同一個域名下的cookies共享