js同源策略：操作web内容的一条完整安全限制

设置document.domain

> document.domain
"home.abc.com"

只允许请求home.abc.com来源的网站。
设置

> document.domain = "abc.com";
"abc.com"

这样就设置了一个同源，对于

*.abc.com

的请求，当做全部同源。

设置相同的document.domain

设置相同的document.domain，如果两个值相同，则脚本可以互相访问。不会受到同源的约束。

跨域资源共享

使用Origin扩展http，确保资源共享

显式的列出所有源。根据Origin的值，列出源，避免再次跨源

跨文档消息

使用postMessage()方法，异步传递消息事件

脚本化插件和ActiveX控件

在web浏览器中，js被用作很多软件和插件的脚本引擎。
ActiveX 网上银行用的多，╮(╯▽╰)╭
很老很老的技术了。3721。(⊙o⊙)

js不能做什么

客户端js没有权限写入删除客户计算机上的任意文件或列出任意目录。即js程序不能删除数据或者植入病毒。
客户端的js没有任何通用的网络能力，客户端js程序可以对http协议编程，并且有套接字的api，用于指定服务器通信，但是都不能进行更大范围，更广的网络进行访问。

相关文章：

有关对同源策略和csrf安全策略的知识点讲解

js同源策略详解

相关视频：

JavaScript基础精讲视频教程

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。TEL:177 7030 7066 E-MAIL:11247931@qq.com