同源

1.协议相同2.域名相同3.端口相同复制代码

同源的目的

同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。设想这样一种情况：A 网站是一家银行，用户登录以后，A 网站在用户的机器上设置了一个 Cookie，包含了一些隐私信息（比如存款总额）。用户离开 A 网站以后，又去访问 B 网站，如果没有同源限制，B 网站可以读取 A 网站的 Cookie，那么隐私信息就会泄漏。更可怕的是，Cookie 往往用来保存用户的登录状态，如果用户没有退出登录，其他网站就可以冒充用户，为所欲为。因为浏览器同时还规定，提交表单不受同源政策的限制。由此可见，同源政策是必需的，否则 Cookie 可以共享，互联网就毫无安全可言了复制代码

限制范围

随着互联网的发展，同源政策越来越严格。目前，如果非同源，共有三种行为受到限制。（1） 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。（2） 无法接触非同源网页的 DOM。（3） 无法向非同源地址发送 AJAX 请求（可以发送，但浏览器会拒绝接受响应）复制代码

Cookie

cookie是服务器写入浏览器的一小段信息，只有同源的网页才能共享。如果两个网页一级域名相同，只是次级域名不同， 浏览器允许通过设置document.domain来共享cookie

eg:

举例来说，A 网页的网址是http://w1.example.com/a.html，B 网页的网址是http://w2.example.com/b.html，那么只要设置相同的document.domain，两个网页就可以共享 Cookie。因为浏览器通过document.domain属性来检查是否同源。

document.domain = 'example.com';// 两个网页都需要设置

注意，A 和 B 两个网页都需要设置document.domain属性，才能达到同源的目的。因为设置document.domain的同时，会把端口重置为null，因此如果只设置一个网页的document.domain，会导致两个网址的端口不同，还是达不到同源的目的。

另外，服务器也可以在设置 Cookie 的时候，指定 Cookie 的所属域名为一级域名，比如.example.com。Set-Cookie: key=value; domain=.example.com; path=/这样的话，二级域名和三级域名不用做任何设置，都可以读取这个 Cookie。复制代码