同源政策是瀏覽器非常重要的安全策略,限制一個 origin 的 document 或者加載的腳本如何與另個 origin 的資源進行作用。它能幫助我們阻隔未經允許的文件、腳本,减少可被攻擊的媒介。
一個 URL 包含了,協議 ( Protocol )、域名 ( Domain )、阜號 ( Port )。
上述的三者皆相同的網址,即認為是同源。
e.g. 與 https://www.aaa.com/api/test 同源
| --- | --- | --- | | https//www.aaa.com/index.html | 是 | 僅網址中的 path 不同而以 | | http://www.aaa.com/index.html | 否 | URL 中的 Protocol 不同,http ≠ https | | http://www.bbb.com | 否 | domain 已然不同 |
在比較兩者之前,我們要先知道 Domain 中包含 sub-domain 、site-name,而 same site 只需要 site name 相同即可,其中的 sub-domain 可以不用相同。