[TOC]

1、概述

同源战略是对JavaScript代码能够操纵哪些WEB内容的一条完全的平安限定，也是由Netscape提出的一个有名的平安战略。所谓同源简朴来讲就是“三个雷同”，
**
1、域名雷同
2、协定雷同
3、端口雷同
**

当我们运用多个<iframe>元素或许翻开其他阅读器窗口的时刻，这一战略就会发挥它的作用，在这类状况下，同源战略担任治理窗口或许窗体中的JavaScript代码以及和其他窗口的交互，具体来讲，剧本只能读取所属文档的泉源雷同的窗口和文档属性（固然我们也能够经由过程JS完成多个窗口和窗体，在本章我们不做诠释）固然同源战略也属于一些理论性的学问点，存在于我们一样平常的运用中，相识这些能够协助我们更好的明白前端的平安及学问。

文档的泉源包含协定、主机，以及载入文档的URL端口。

1、从差别的web效劳器载入的文档具有差别的泉源。
2、经由过程统一主机的差别端口载入的文档具有差别的泉源。
3、运用http协定和https协定载入的文档具有差别的泉源。

纵然他们来自统一个效劳器。
剧本自身的泉源与同源战略并不相干，相干的是剧本所潜入的文档的泉源，同时同源战略还会应用于XMLHttpRequest天生的HTTP要求，这个对象许可客户端javascript天生恣意的HTTP要求到剧本所属文档的效劳器，然则不许可剧本和其他WEB效劳器之间的通讯，这就是我们常说的跨域要求，实在所谓的跨域就是遭到了同源战略的束缚，（固然我们能够经由过程其他的体式格局来处理跨域之间的要求的题目）。

2、同源战略的目的

同源政策的目的，是为了保证用户信息的平安，防备歹意的网站盗取数据。

想象如许一种状况：A网站是一家银行，用户登录今后，又去阅读其他网站。假如其他网站能够读取A网站的 Cookie，会发作什么？

很显然，假如 Cookie 包含隐私（比方存款总额），这些信息就会走漏。更恐怖的是，Cookie 每每用来保留用户的登录状况，假如用户没有退出登录，其他网站就能够假装用户，随心所欲。由于阅读器同时还划定，提交表单不受同源政策的限定。

因而可知，”同源政策”是必需的，不然 Cookie 能够同享，互联网就毫无平安可言了。

—— 摘自《阅读器同源政策及其躲避要领》

3、文档中设置同源：document.domain

在某些状况下，同源战略就显得比较严厉了，比方在统一个域名下的别的子域名，比方两个子域名：home.xiang.com和子域名order.xiang.com个中的一个子域名下须要正当的读取另一个子域名地下的文档的属性，为了支撑这类多域名站点，这时候刻我们能够运用document.dimin属性来掌握源，在默许状况下document.domain的值是载入文档的效劳器的主机名，当我们在设置这一属性的时刻，我们运用的字符串必需具有有用的域前缀或它自身。

因而假如一个dimin初始值是home.xiang.com的字符串我们能够设置为xiang.com。别的document.domain的值中必需又一个点号，不能把它设置为com或许别的顶级域名。

这时候，假如两个窗体或许窗口包含的剧本吧document.domain设置成了雷同的值，那末两个窗口就不再受同源战略的束缚了。能够互相读取属性了。

4、要求中的 Access-Control-Allow-Origin

遭到同源战略的影响，同时我们也能够经由过程一些要领来到达跨域资本的同享，拜见http://www.w3.org/TR/cors/ 这个规范和草案是用新的Origin:要求头和新的Access-Control-Allow-Origin响应来扩大HTTP，它许可效劳器用头信息显现的列出源，或运用通配符来婚配一切的源并许可由任何地点要求的文件，许多阅读器都运用这类新的头信息来许可跨域的HTTP要求，如许在我们的XMLHttpRequest就不会被同源战略限定。

5、跨文档音讯通报 window.postMessage()

跨文档音讯，许可来自一个文档的剧本能够通报文本音讯到另一个文档里的剧本，而不论剧本的泉源是不是雷同，当我们挪用window对象上的postMessage要领时就能够异步的将信息通报到指定的窗口文档，此时被接收的窗口中能够经由过程onmessage()的要领来接收到通报过来的信息，然则不能挪用其他文档的要领或许读取属性。也就是说这只是一种通讯手艺，并非是去掌握另一个文档的内容。

postMessage()要领接收两个参数，第一个参数是要通报的信息，HTML5规范中提到，该参数能够是恣意基础范例的只或许是能够复制的对象，然则有些阅读器只支撑字符串的通报，一切有时刻通报的对象或许数组的时刻须要举行转换。第二个参数是一个字符串，是指定窗口的源，也就是指定窗口的document.domain属性的值，这个中包含了协定、主机名、以及URL端口部份，（除了这些信息以外的信息都会被疏忽），假如须要通报给任何窗口，此时这个只能够设置为*，假如要指定和当前窗口同源的话也能够运用/即可。

在目的窗口就会触发onmessage()事宜，该事宜接收到的是一个对象，包含一下属性：

data

作为第一个参数通报给
postMessage()要领的音讯副本内容。

source

音讯源自的window对象。

origin

一个字符串，指定音讯泉源（URL）。

——摘录

本文大部份内容摘自《JavaScript威望指南》一书，细致说明注解请参考书中内容。

作者的文章源地点 http://xiangzongliang.com/blo…