JavaScript(Ajax)和Cookie的同源策略

一個URL由四部分組成，拿 www.aiwalls.com 來說（http的默認端口是80，https的默認端口是443。如果是默認端口，可以省略，所以這個URL等價www.aiwalls.com:80

協議：http

主機：www.aiwalls.com

端口：80

路徑：/

所謂的同源就是要求這個URL的協議，主機，端口三部分都相同。一般我們說的域或者domain也是這裡的源的概念。

對於上面的URL，有以下結果：

 

其他URL	是否同源	原因
http://blog.csdn.net/xilang/index.html	是
http://blog.csdn.net/yanical/othersub	是
https://blog.csdn.net/yanical	否	協議，端口不同
http://blog.csdn.net:81/yanical	否	端口不同
http://www.csdn.net/	否	主機不同

 

存在一種異常情況，javascript可以通過設置document.domain來修改主機和端口部分的值，如果這樣做，設置後的值就會作為同源策略檢查的標準。比如對於http://blog.csdn.net/yanical和http://bbs.csdn.net/可以執行下面的javascript：

 [javascript]  document.domain = "csdn.net"; 
 

這樣後，這兩個頁面就是同一個源瞭。出於安全的考慮，不能設置為其他主domain，比如http://www.csdn.net/不能設置為sina.com

我們看到，javascript中隻有主機的部分被設置瞭，沒有提到端口的部分。事實上，在執行上面的javascript的時候，端口也被設置瞭，且被設置成瞭null值。所以，對於http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都執行上面的javascript，那麼端口都被設為瞭null，他們也就變成同源瞭。

同源策略最早被用來阻止一個源的js去獲取或者修改另外一個源的文檔屬性，這裡的javascript的源指的是加載javascript的HTML頁面的源，而不是javascript自己所在的源。

舉個例子，有兩個HTML和兩個javascript。test.html包含一個iframe引用瞭frame.html，且他們在不同的源；test.html還引用瞭兩個js，他們其中一個也和test.html的源不同；test.html的javascript還試圖去修改frame.html。

test.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe> 
</body> 
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script> 
<script language="javascript" src="http://localhost/content/samedomain.js"></script> 
<script> 
document.write('——write from test.html'); 
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='——overwrite frame from test.html'; 
</script> 
</html> 
 
frame.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<script> 
document.write('——write from frame.html'); 
</script> 
</body> 
</html> 
otherdomain.js:
 
 
 
[javascript]  document.write('——write from otherdomain.js'); 
samedomain.js:
 
 
 
[javascript]  document.write('——write from samedomain.js'); 

我們訪問http://localhost/test.html,執行結果如下：

可以看到，盡管test.html和otherdomain.js的源不同，但是因為otherdomain.js是test.html加載進來的，所以他們還是同一個源。但是test.html和frame.html就不是同一個源，瀏覽器阻止瞭修改請求。

現在同源策略還被用來判斷一個XMLHTTPRequest(AJAX)是否合法，一個頁面隻能向同一個源的服務器發起AJAX請求。

需要註意的是，Cookie的同源策略和javascript略有不同，就是Cookie忽略瞭協議這一項，所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。

摘自 紙做原創