DOM 同源策略： 禁止对不同源页面 DOM进行操作。这里主要场景是 iframe跨域的情况，不同域名的 iframe是限制互相访问的(比如一个恶意网站的页面通过iframe嵌入了银行的登录页面（二者不同源），如果没有同源限制，恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码) XMLHttpRequest 同源策略： 禁止使用 XHR对象向不同源的服务器地址发起 HTTP请求(这一点里面其实包括了 ajax)。 Cookie、LocalStorage、IndexedDB 等存储性内容同源策略： js中无法访问不属于同个源的cookie、LocalStorage中存储的内容。 具体来说，cookie和LocalStorage在控制哪些源可以访问的问题上还是细微的差别，父域在设置cookie的时候可以设定允许子域访问这段cookie，同时Cookie只和域名以及路径关联，如果是同个域名不同端口的源依然是共享同个域名下的Cookie的，而LocalStorage则是以源为单位进行管理，相互独立，不同源之间无法相互访问LocalStorage中的内容。 但是同源策略留了一些“后门”： 页面中的链接，重定向以及表单提交是不会受到同源策略限制的(未授权情况下，ajax的表单提交是不被允许的,但是普通的表单是可以直接跨域的)。 script、img、link这些包含 src属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。 同源策略限制的内容有： Cookie、LocalStorage、IndexedDB 等存储性内容 DOM和JS对象无法获得 AJAX请求发送后，结果被浏览器拦截了 但是有三个标签是允许 对应 cookie也同时发送过去。 银行页面从发送的 cookie中提取用户标识，验证用户无误，response中返回请求数据。此时数据就泄露了，而且由于 Ajax在后台执行，用户无法感知这一过程。 cookie 是浏览器根据你请求的页面进行发送的，而与从哪个页面发送过去请求无关。比如说，我访问了 a.com以后获取了 a.com的cookie ，然后我访问 q.com ，由于 cookie域的限制，浏览器在请求 q.com的时候不会携带 a.com的cookie ，但是当 q.com有一个向 a.com发起的请求的时候，浏览器就会自动的在这个请求中带上 a.com的 cookie。 跨域并不是请求发不出去，请求能发出去，服务端能收到请求并正常返回结果，只是结果被浏览器拦截了。 你可能会疑问明明通过表单的方式可以发起跨域请求，为什么 Ajax就不会? 因为归根结底，跨域是为了阻止用户读取到另一个域名下的内容，Ajax可以获取响应，浏览器认为这不安全，所以拦截了响应。但是表单并不会获取新的内容，所以可以发起跨域请求。同时也说明了跨域并不能完全阻止 CSRF，因为请求毕竟是发出去了。 小结： 同源策略控制不同源之间的交互，这些交互通常分为三类：