同源策略

在浏览器中，保证访问数据安全的基础就是同源策略

同源策略是由Netscape提出的一个著名的安全策略，现在所有支持JavaScript 的浏览器都会使用这个策略。

实际上，这种策略只是一个规范，并不是强制要求，各大厂商的浏览器只是针对同源策略的一种实现。它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。

如果Web世界没有同源策略，当你登录FreeBuf账号并打开另一个站点时，这个站点上的JavaScript可以跨域读取你的FreeBuf账号数据，这样整个Web世界就无隐私可言了。

前言

我们可以设想一个场景：

学校中有个班，班级开放了一个窗口给家长，家长可以通过该窗口询问自己孩子的相关信息，班级里面的每个学生都是互不相关、互不影响的单一个体，每个学生和家长都是属于同一家庭，当同一家庭里面的家长来问该家庭的孩子的信息时候，窗口就会给出相应的信息。要是不是同一家庭的家长来问其他孩子的信息，窗口不加验证就回答，这样孩子的安全就无法保证了。

只有同一家庭家长和孩子可以互传信息，这样就保证了信息传递的安全性

下面我们假设：

这个窗口我们想想成浏览器窗口，里面的学生和家长就是一个个单独的网站，而每一个家庭就是同域，这样只有同一个域下的单独的网站之间才能互相传递信息，这样才能保证数据上的安全性

这个就是简单的同源策略的作用

同源策略的三大要素

什么情况下同源？主要包含了三大要素：

协议相同
域名相同
端口相同

说到同源不能不说下cookie信息，很多漏洞风险的利用都是基于cookie的，cookie的同源和域的同源又有所不同。

COOKIE

cookie是服务器写入浏览器的一段信息，只有同源的可以共享，但是要求绝对同源的情况下，比如“http://reg.163.com/”和“http://mail.163.com/”这种属于不同源的，为啥我们在登入了reg之后是再登入mail不需要重新登入

浏览器允许通过document.domian=http://.163.com 用来设置共享cookie

网站要求用户登入自己的账户，登入后，认证接口就会下发给浏览器一个cookie，通过

Set-Cookie: key=value; domain=.example.com; path=/

完成了cookie的植入，通过这种策略就完成了网站的统一认证登入，这个在cookie中就会有一个相对比较重要的cookie参数，比如在http://www.163.com就是NTES_SESS，也就是你只要拿到这个的值就能登入到网易的所有的站点了

但是这种方式无法LocalStorage 和 IndexDB 这种产生了其他的一些设置策略

iframe

如果两个网页不同源，就无法拿到对方的DOM。

查看以下代码：

观察console就会发现报错。

Uncaught DOMException: Blocked a frame from accessing a cross-origin frame.

是无法得到不同域的document的dom元素的

有几个方案可以解决跨域的一些问题

片段识别符（fragment identifier）
window.name
跨文档通信API（Cross-document messaging）

跨域比较有意思，可以参见《PostMessage跨域漏洞》和《跨域获取数据小结》

AJAX

不同域的ajax是无法请求的，AJAX要想解决域的信息可以采用：

JSONP

WebSocket

CORS

1. JSONP

JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用，老式浏览器全部支持，服务器改造非常小。
它的基本思想是，网页通过添加一个

在多数浏览器中，大多数的about:blank都会创建一个新的页面，这个页面继承了发起页的SOP源。

about:blank页面对源的继承特殊情况如下：

IE: 如果新页面是在iframe中那么它是可以被父页面访问到，也就是它继承了父页面的源

PS：除了同源绕过的漏洞外，还有无源的通用跨域，还有特权域的xss问题，都是和源有关的问题，正在研究学习中。网上有些资料了，我这还没有发现过案例。