同源策略
1. 同源策略
同源策略 (Same Origin Policy)
- 协议
- 域名
- 端口
同时满足这三种条件就是同源,当存在两个站点,其中有一项不满足相同条件的时候,我们即可说这两个站点不是同源站点,而当其中一个站点想请求另外一个站点的资源的时候我们边称它为跨域请求,而由于安全考虑,跨域请求会受到同源策略的限制
1.1 不受影响的标签
- img
- iframe
- link
- css
在同源策略(Same-Origin Policy)中,不同源(即不同协议、主机或端口)之间的资源访问受到限制,以增强安全性。不过,某些标签和资源类型有特定的规则:
<script>:不受同源策略限制,可以从不同源加载 JavaScript 文件。这使得从外部源加载脚本成为可能,但仍需注意跨站点脚本攻击(XSS)的风险。 主要是利用src属性
<script src=""></script>
<img>:不受同源策略限制,可以从不同源加载图片。这使得网页能够显示来自不同源的图像,但不会影响其他资源或进行脚本操作。<iframe>:同样不受同源策略限制,可以嵌入不同源的网页。这允许在一个网页中显示来自不同站点的内容,但需要小心防止点击劫持等安全问题。<link>和 CSS:在加载外部样式表时不受同源策略限制。网页可以链接到来自不同源的 CSS 文件,以应用样式。 link 主要是引入外部资源的。
在HTML中,