同源策略

同源策略：不同域的客户端脚本在没有明确授权的情况下，不能读写对方的资源。

为什么需要同源策略？

假设你登录一个网站服务器，同时在同一个浏览器访问其他恶意的站点时。如果没有同源策略，攻击者可以通过JavaScript获取你登录网站服务器上的信息等。如果我们登录的是个人银行账户，那么如果没有同源策略就会很危险。

根据上面对同源策略的说明，我么可以从其中知道：
a)不同域或同域：同域要求两个站点同协议，同域名，同端口。

b)客户端脚本：主要指JavaScript，客户端攻击主要是基于该脚本的。

c)授权：目标站点明确返回HTTP的响应头：“Access-Control-Allow-Origin：http://www.evil.com”。那么“www.evil.com”站点上的客户端就有权通过Ajax技术对目标站点上的数据进行读写操作。如果“Access-Control-Allow-Origin：*”：表示所有站点都可以对目标站点进行读写操作。

d)读写权限：document.cookie具备读写权限。

e)资源：只要是数据，就是资源。客户端安全威胁都是围绕这些资源进行的。

通过实例来说

html代码：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">  
<html>  
<head>  
<meta http-equiv="content-type" content="text/html;charset=utf-8">  
  <title> 跨域测试 </title>  
  <script src="//code.jquery.com/jquery-1.11.3.min.js"></script>  
 </head>  
 <body>  
    <div id="show"></div>  
    <script type="text/javascript">  
    $.post("http://www.server.com/server.php",{name:"fdipzone",gender:"male"})  
      .done(function(data){  
        document.getElementById("show").innerHTML = data.name + ' ' + data.gender;  
      });  
    </script>  
 </body>  
</html> 

php代码：

<?php  
$ret = array(  
    'name' => isset($_POST['name'])? $_POST['name'] : '',  
    'gender' => isset($_POST['gender'])? $_POST['gender'] : ''  
);  
header('content-type:application:json;charset=utf8');  
header('Access-Control-Allow-Origin:*');     //允许跨域访问。    
echo json_encode($ret);  
?>