详解浏览器同源策略

维基百科的解释

In computing, the same-origin policy is an important concept in the web application security model. Under the policy, a web browser permits scripts contained in a first web page to access data in a second web page, but only if both web pages have the same origin. An origin is defined as a combination of URI scheme, host name, and port number. This policy prevents a malicious script on one page from obtaining access to sensitive data on another web page through that page's Document Object Model

笔者不才，翻译一下【重点信息已加粗】

在计算机科学中，同源策略是Web应用安全模型中的一个重要概念。根据该策略，Web浏览器允许包含在第一网页中的脚本【比如Ajax】访问第二网页中的数据，但是仅当这两个网页同源时才允许。而‘源’【英文原文为origin】被定义为是一个URI协议、域名和端口号的组合。此策略可防止一些网页上的恶意脚本通过该页面的DOM接口获取对另一个网页上敏感数据的访问

Wiki的解释非常详尽，我们可以做一个简要的总结来阐述到底什么是同源策略

• 同源是什么意思：同协议、同域名、同端口号就是同源
• 同源策略的应用场景：web安全方面
• 同源策略的内容：当两个网页同源时，可以通过接口互相访问彼此的数据
• 同源策略的作用：防止一些网页上的恶意脚本通过该页面的DOM接口获取对另一个网页上敏感数据的访问

题外话1：是谁主导了同源策略

值得注意的是：浏览器执行了同源策略，以保证web安全。
因此，如果我们不用浏览器来加载网页，就不会有同源策略——这就引出了跨域的概念，我们以后再讲。。

题外话2：现在同源策略主要针对谁？

主要针对的就是牛逼哄哄的Ajax :)

参考:Same-origin policy【可能需要科学上网】