同源策略

同源策略（Same-Origin Policy）是一种浏览器安全策略，它限制一个网页文档或脚本如何能够与另一个源（域、协议和端口的组合）的资源进行交互。同源策略是为了防止恶意网站通过一些隐蔽的手段从其他站点获取用户的敏感信息或进行恶意操作。

同源策略的主要规则包括：

协议相同：页面中的脚本只能访问与该页面相同协议（http 或 https）的资源。

域名相同：页面中的脚本只能访问与该页面相同域名的资源。

端口相同：页面中的脚本只能访问与该页面相同端口号的资源。

这意味着如果一个页面加载的脚本来自于一个不同协议、域名或端口的资源，浏览器会阻止这种访问，从而保护用户的安全和隐私。

CSRF（Cross-Site Request Forgery）：通过伪造用户的身份，攻击者在用户不知情的情况下向受信任网站发送请求。

XSS（Cross-Site Scripting）：在网页中插入恶意脚本，这些脚本可以窃取用户信息或执行其他恶意操作。

数据泄露：防止在不同源之间未经授权地传输敏感信息。