1.2 瀏覽器的同源策略

古代的楚河漢界明確規定了楚漢兩軍的活動界限，理應遵守，否則必天下大亂，而事實上天下曾大亂后又統一。這里我們不用管這些“分久必合，合久必分”的問題，關鍵是看到這里規定的“界限”。Web世界之所以能如此美好地呈現在我們面前，多虧了瀏覽器的功勞，不過瀏覽器不是一個花瓶——只負責呈現，它還制定了一些安全策略，這些安全策略有效地保障了用戶計算機的本地安全與Web安全。

同源策略是眾多安全策略的一個，是Web層面上的策略，非常重要，如果少了同源策略，就等于楚漢兩軍沒了楚河漢界，這樣天下就大亂了。

同源策略規定：不同域的客戶端腳本在沒明確授權的情況下，不能讀寫對方的資源。

下面分析同源策略下的這個規定，其中有幾個關鍵詞：不同域、客戶端腳本、授權、讀寫、資源。

1.不同域或同域

同域要求兩個站點同協議、同域名、同端口，比如：表1-1展示了表中所列站點與http://www.foo.com是否同域的情況。

從表1-1中的對比情況可以看出，我們通常所說的兩個站點同域就是指它們同源。

2.客戶端腳本

客戶端腳本主要指JavaScript（各個瀏覽器原生態支持的腳本語言）、ActionScript（Flash的腳本語言），以及JavaScript與ActionScript都遵循的ECMAScript腳本標準。Flash提供通信接口，使得這兩個腳本語言可以很方便地互相通信。客戶端的攻擊幾乎都是基于這兩個腳本語言進行的，當然JavaScript是最廣泛的。

被打入“冷宮”的客戶端腳本有 VBScript，由于該腳本語言相對較孤立，又有當紅的JavaScript存在，所以實在是沒有繼續存在的必要。

3.授權

一般情況下，看到這個詞，我們往往會想到服務端對客戶端訪問的授權。客戶端也存在授權現象，比如：HTML5新標準中提到關于AJAX跨域訪問的情況，默認情況下是不允許跨域訪問的，只有目標站點（假如是http：//www．foo．com）明確返回HTTP響應頭：

Access-Control-Allow-Origin: http://www.evil.com

那么www．evil．com站點上的客戶端腳本就有權通過AJAX技術對www．foo．com上的數據進行讀寫操作。這方面的攻防細節很有趣，相關內容在后面會詳細介紹。

4.讀寫權限

Web 上的資源有很多，有的只有讀權限，有的同時擁有讀和寫的權限。比如：HTTP請求頭里的Referer（表示請求來源）只可讀，而document．cookie則具備讀寫權限。這樣的區分也是為了安全上的考慮。

5.資源

資源是一個很廣泛的概念，只要是數據，都可以認為是資源。同源策略里的資源是指Web客戶端的資源。一般來說，資源包括：HTTP消息頭、整個DOM樹、瀏覽器存儲（如：Cookies、Flash Cookies、localStorage等）。客戶端安全威脅都是圍繞這些資源進行的。

到此，已經將同源策略的規定分析清楚，如果Web 世界沒有同源策略，當你登錄Gmail郵箱并打開另一個站點時，這個站點上的JavaScript就可以跨域讀取你的Gmail郵箱數據，這樣整個 Web 世界就無隱私可言了。這就是同源策略的重要性，它限制了這些行為。當然，在同一個域內，客戶端腳本可以任意讀寫同源內的資源，前提是這個資源本身是可讀可寫的。