HTTP 相关理论
浏览器同源策略(same-origin policy)
同源是指三同:
目的,是保证用户信息的安全,防止恶意的网站窃取数据,如果违背该策略则会触发跨域访问(Cross Domain Access)
问题
非同源,以下行为会受到限制:
- Cookie、LocalStorage和IndexDB无法读取
- DOM 无法获取
- 不能发送 AJAX 请求
CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)
,允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制
Permissions-Policy
Permissions-Policy
原来为 Feature-Policy
允许站点开启或者禁止一些浏览器属性和 API,用来更好的确保站点的安全性
和隐私性
,支持的 Features list,详情参考,语法:
Permissions-Policy: <directive> <allowlist>
示例:
Permissions-Policy: geolocation=(self "https://a.example.com" "https://b.example.com")