Same-origin Policy

释义 Definition

同源策略：一种浏览器安全机制，默认限制网页脚本跨“源”（协议 + 域名 + 端口）访问资源（如读取另一个网站的响应内容），以降低数据泄露与恶意攻击风险。也常用于解释为什么某些跨站请求“能发出去但读不到返回数据”。（在特定机制如 CORS、postMessage 等下可被安全放宽。）

发音 Pronunciation (IPA)

/ˌseɪm ˈɔːrɪdʒɪn ˈpɒlɪsi/

例句 Examples

The same-origin policy stops this page from reading data from another domain.
同源策略会阻止这个页面读取来自另一个域名的数据。

Even though the request is sent, the browser blocks the response because the same-origin policy treats different ports as different origins.
即使请求已经发出，浏览器也会阻止读取响应，因为同源策略把不同端口视为不同的源。

词源 Etymology

same-origin policy 是由 same（相同的）+ origin（来源/源，指协议、域名与端口的组合）+ policy（策略/规则）构成的计算机安全术语。它在 Web 早期发展中逐渐成为浏览器的核心安全边界之一，用来把不同网站之间的脚本隔离开。

相关词 Related Words

• Cors
• Origin
• Sandbox
• Csrf
• Xss
• Content Security Policy
• Fetch

文献与著作 Literary Works

• HTML Living Standard（WHATWG）中关于 origin、跨源访问与浏览器安全模型的相关描述
• Fetch Standard（WHATWG）对 CORS、请求/响应在同源限制下的处理有系统阐述
• Web Security for Developers（Malcolm McDonald 等）以同源策略为基础讲解常见 Web 攻击与防护
• Eloquent JavaScript（Marijn Haverbeke）在浏览器端网络请求与安全限制的语境中提及同源与跨源问题