浏览器同源政策及其规避方法

2024年9月29日发(作者：)

浏览器同源政策及其规避方法

什么是浏览器同源政策？

浏览器同源政策（Same-Origin Policy，简称SOP）是一种安全机制，用于限制一

个网页中的脚本只能访问来自同一源的资源。所谓“源”指的是协议、域名和端口

号的组合。

浏览器同源政策的作用是防止恶意网站通过脚本获取用户的隐私信息或进行跨站点

攻击。如果一个网页使用JavaScript脚本从其他域名加载敏感信息（如cookie），

那么根据浏览器同源政策，该脚本将无法访问这些信息。

同源政策的限制

浏览器同源政策主要包括以下限制：

1. Cookie、LocalStorage和IndexDB的限制：不同源的网页无法共享Cookie、

LocalStorage和IndexDB等存储数据。这样可以防止一个域名下的恶意脚

本获取其他域名下用户的敏感信息。

2. DOM访问限制：不同源的网页不能通过JavaScript等方式直接访问彼此的

DOM结构。这样可以防止恶意网站通过修改其他网站上的DOM来进行攻击。

3. AJAX请求限制：默认情况下，浏览器不允许跨域的AJAX请求。只有在目标

服务器设置了响应头中的CORS（跨域资源共享）相关字段，才能实现跨域

AJAX请求。

4. Frame和IFrame限制：不同源的网页无法通过Frame和IFrame直接嵌入对

方，除非目标网站设置了合适的响应头。

规避方法

尽管浏览器同源政策限制了跨域访问，但我们仍然有一些方法来规避这些限制：

1. JSONP

JSONP（JSON with Padding）是一种利用