同源策略的限制，没有同源策略会怎么样？

同源策略

之前学习跨域方式的时候介绍过同源策略，但是学习真的不能知其一而不知其意，当时只是简单的了解，昨天面试随着面试官加深的询问没有同源策略会怎样，才发现自己还是没有真正的明白，今天简单记录一下0.0 Salute！

九种跨域方式及实现原理：https://blog.csdn.net/f944913628/article/details/114288543?spm=1001.2014.3001.5501

同源策略：是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSRF等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略的执行

所有的同源策略都是由浏览器执行的，所有的限制都是因为浏览器的作用，这是因为浏览器为保护用户隐私而才去的措施。

说说同源策略的限制

1、不能获取不同源的cookie，LocalStorage 和 indexDB

如果不同源可以获取用户的cookie信息等，被恶意的人加以操作，岂不是很可怕，所以这是为了防止恶意网站获取用户其他网站的cookie数据做出的限制。

2、不能让获取非同源的DOM

举个栗子：如果没有这一条，恶意网站可以通过iframe打开银行页面，可以获取dom就相当于可以获取整个银行页面的信息。

3、不能发送非同源的ajax请求。（准确说应该是可以向非同源的服务器发起请求，但是返回的数据会被浏览器拦截）

这里引用一下别人写的话说的很好：大佬
为什么ajax访问不能跨域？这得先说说cookie

1.客户向A网站的服务器发送登录请求，并携带账号密码数据
2.A网站的服务器校验账号密码正确后，返回响应并给本地添加了Cookie
3.之后客户再次向A网站发起请求会自动带上A网站存储在本地的cookie
4.A网站的服务器从cookie中获取账号密码数据后，返回登陆成功界面。

假设有一个黑客叫做小黑，他从网上抓取了一堆美女图做了一个网站，每日访问量爆表。

为了维护网站运行，小黑挂了一张收款码，觉得网站不错的可以适当资助一点，可是无奈伸手党太多，小黑的网站入不敷出。

于是他非常生气的在网页中写了一段js代码，使用ajax向淘宝发起登陆请求，因为很多数人都访问过淘宝，所以电脑中存有淘宝的cookie，不需要输入账号密码直接就自动登录了，然后小黑在ajax回调函数中解析了淘宝返回的数据，得到了很多人的隐私信息，转手一卖，小黑的网站终于盈利了。

如果跨域也可以发送AJAX请求的话，小黑就真的获取到了用户的隐私并成功获利了！！！
为了防止小黑这种黑客侵犯用户的隐私，同源政策就出现了。拯救了银河系！！！

用form表单提交到不同源的网页是被允许的，因为 form 提交到另一个域名之后，原页面的脚本无法获取新页面中的内容,所以浏览器认为这是安全的。

而 AJAX 是可以读取响应内容的，因此浏览器不能允许你这样做。如果你细心的话你会发现，其实请求已经发送出去了，你只是拿不到响应而已。

所以浏览器这个策略的本质是，一个域名的 JS ，在未经允许的情况下，不得读取另一个域名的内容。但浏览器并不阻止你向另一个域名发送请求。

没有同源策略的危害

如果没有同源策略的作用，任意站点之间可以可以操作资源，当你在访问一个合法网站的时候，又打开了一个恶意网站，包含了恶意脚本，恶意脚本便可以操作合法网站上的一切资源。