白帽子讲web安全之2

同源策略是浏览器最核心也是最基本的安全功能，所谓同源即
- 对Javascript来说，相同的 host（ip），子域名，port，protocol。需注意的是，对当前页面来说，页面存放JavaScript文件的域不重要，重要是加载JavaScript页面所在的域。浏览器中<script><img> <iframe><link>等标签可以跨域加载资源，而不受同源策略限制，这些带src属性，相当于浏览器发起一次get请求，但是浏览器通过src限制了javascript的权限，*能跨域加载但不能读写返回的内容。
- 对XMLHttpRequest来说，它可以访问同源对象的内容，但不能跨域访问资源。 为打破限制，w3c制定标准，它通过目标域的HTTP头来授权是否允许跨域访问。因为JavaScript不能控制HTTP头。