技术讲座:同源策略(SOP)的真正边界与 <script>、<img> 的加载限制 引言 同源策略(Same-Origin Policy,SOP)是Web浏览器的一种安全机制,旨在限制从一个源加载的文档或脚本如何与另一个源的资源进行交互。这一策略防止了恶意文档窃取数据或操作其他源的数据。然而,同源策略的边界并不是绝对的,它对某些类型的资源如 <script> 和 <img> 的加载有一定的例外。本文将深入探讨同源策略的真正边界,并解释为什么它不对 <script> 和 <img> 的加载施加严格的限制。 同源策略概述 定义 同源策略是一种安全策略,它要求从一个源加载的文档或脚本只能访问来自同一源的资源。源由协议(如http、https)、域名和端口组成。 目的 防止数据泄露:阻止恶意网站窃取敏感数据。 防止操作其他源:防止恶意脚本对其他源的数据进行修改。 限制 JavaScript:不能读取来自不同源的文档内容。 CSS:不能读取来自不同源的样式表。 AJAX:不能发送跨源请求。 <script> 和 …