对于软件开发者来说，理解同源策略，可以很好地解决了一个痛点， 不同域名下的资源读写 !

古代的楚河汉界明确地规定了双方的活动界限，如果没有这些界限，天下必将大乱。同样，在我们的浏览器，也有着一些界限和策略，才让 Web 世界之所以能如此美好地呈现在我们面前，这些安全策略有效地保障了用户计算机的本地安全与Web安全。

浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指，域名，协议，端口相同。不同源的客户端脚(javascript、ActionScript)本在没明确授权的情况下，不能读写对方的资源。

同源策略，它是由 Netscape 提出的一个著名的安全策略，现在所有支持JavaScript 的浏览器都会使用这个策略。
实际上，这种策略只是一个规范，并不是强制要求，各大厂商的浏览器只是针对同源策略的一种实现。它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之的。

如果Web世界没有同源策略，当你登录Gmail邮箱并打开另一个站点时，这个站点上的JavaScript就可以跨域读取你的Gmail邮箱数据，这样整个Web世界就无隐私可言了。

cookie 劫持 浏览器中的 cookie就变得非常不安全，a 域名下的网页，就可以读取你浏览器中的所有 cookie，如果攻击者能获取到用户登陆凭证的Cookie，甚至可以绕开登陆流程，直接设置这个cookie的值，来访问用户的账号。

• 端口: /a、/b,这两个url 只是在同一个域名下面的不同目录，自然是符合同源策略的

客户端的攻击主要来自javascript的脚本，一般体现在对未授权的资源进行读写操作。

或者设置为 *， 允许所有网站进行同源访问，但是这样也太不安全了。

用 jsonp 来解决跨域问题

则若服务器不过滤，响应内容为:
用户点击图片，也会有xss攻击。

• 对输入的内容进行安全转义过滤，却未限定jsonp回调的合法的字符，下面参数经过安全转义后仍然不变。while(true){alert(document.cookie)} 攻击者就可以使用此参数对用户进行恶搞。

• 对输出的内容进行必要的安全转义
• 设置响应类型是非json或javascript类型，比如text/html。防止攻击者直接输入jsonp请求的url，浏览器端收到数据时以js的方式运行响应的内容。

• 如果是log之类的简单单项通信，新建,

　　【IT168 评论】近几年，JavaScript无所不在，已经有很多东西通过它创建了，至少有很大一部分网站是使用JavaScript创建的。JavaScript容易学习和使用，因为其本身易于并入，并具有广泛的可用性。比如，开放源代码库(如jQuery和React.js)和框架(如Backbone.js，Angular.js和Ember.js)。

　　最重要的事实是JavaScript是动态的。很多公司已经承认了这种语言的力量，并使用它来开发十分重要的程序。这引起了大家对JavaScript开发问题的关注，越来越多的数据和知识产权被放在客户端。如果公司只专注于保护服务器端，他们将面临其他来自于客户端的攻击，如用户体验篡改，恶意软件注入，数据泄露，MitB，知识产权和代码盗窃等。

　　根据Statista所示，全球有超过30亿人在访问互联网，这给了网络盗贼一个巨大的获利机会。去年，发现近10亿Android手机，黑客只需要一个短信就可以入侵。此外，所谓的流氓应用商店正在成为开发者重点关注的领域。智能手机常常出现免费提供的应用修改版本，在某些情况下，这些应用程序可以盗取移动银行密码或重定向包含密码的短信。

　　传统意义上，代码保护意味着在服务器上存储尽可能多的代码，这可以保护代码安全，并允许服务器在性能方面提升，虽然这有一些缺点。如果你正在开发一个离线工作的应用程序，那么这是不可行的。 另一个考虑是性能，服务器调用需要时间。简单的应用程序访问没问题，但对于高性能的应用程序，如游戏，过多的延迟会破坏用户体验。

　　经常出现的一个问题是，“为什么不能加密JavaScript代码?”似乎有一个不错的解决方案，比如你可以加密文件，但这对浏览器没什么用，因为只有解密文件才对浏览器可读，这就陷入了一个死循环中。

　　到目前为止，很多公司仍然严重依赖端点安全解决方案来保护客户端，然而解决方案(如防病毒软件)的成功率很低，约为40%。如果我们认为应用程序包含服务器端和客户端，并且客户端解决方案不一定必须是端点安全性，那么可以理解为每个客户端应用程序都有自己隐藏的防御系统。

　　到目前为止，公司一直在关注服务器端的威胁，并很少注意客户端的黑客隐患。通常，IT团队不知道客户端没有充分保护的前提下，将面临多大的风险。技术旨在检测对客户端上的应用程序的篡改这意味着开发和安全团队知道并可以执行计划，以确保攻击不成功。我们假设这类防御措施发生在不安全的环境下，我们就必须采用一些手段允许应用程序安全地执行。

　　由于HTML5和JavaScript越来越普遍，越来越多的应用逻辑从服务器端传递到客户端。这需要开发人员更多地关注安全性，应用程序需要以全面的方式进行保护。附加的安全层允许应用程序自我防御，确保它能够检测任何种类的篡改，并使代码与程序的执行脱轨。此外，可以设置告警机制检测应用程序是否被篡改或在除了定义的环境或日期之外的其他环境中被使用。

　　攻击随时随地都会发生，因为没有有效的对策，我们显得很被动。我们需要认识和理解由于不保护客户端而造成的损失。现在是时候采取安全措施，更好地保护网络资产了。

御书屋|御宅屋-的网丰富的电子小说可以随时阅读，线上有很多的小说题材，全网的小说全都有，追书轻松，每个新人都有自己的书架，可以将书籍快速的添加！

御书屋|御宅屋-自由的小说阅读网官方版特色：

1、实时精品推荐，书友热搜、畅销、人气等小说排行榜，远离书荒。

2、个性化阅读、全局夜间护眼模式、自定义阅读设置，操作简单，好看不伤眼。

1、赏心悦目的视觉效果及轻松舒适的阅读界面，一切为你量身定制。

2、名家名作汇聚一堂，速来膜拜你心中的大神~作家感言让真实的大神不再遥远。

1、更直接的交流、吐槽，更真实地和主人公共同成长，好书免费，新人福利畅读全场，惊喜多多，每日任务奖励不停。

2、全网海量热门书籍应有尽有，随时随地、想看就看、阅读、秒速追更。