V2EX › wheelg 的所有回复 › 第 1 页 / 共 3 页

看了各位的回答后，我的理解是这样的：

浏览器在设计之初并没有一个很好的身份认证手段，于是采用了 cookie 用作身份认证，为了鉴定用户身份，浏览器不得不每次发送请求时都带上请求网站的 cookie ，因此为了考虑兼容性，不能阻止`a.com`向`b.com`发送请求时带上`b.com`的 cookie 。

所以为了避免恶意网站利用这个 cookie ，对于非同源请求，浏览器选择了先向服务器询问`a.com`是不是可信任的（ OPTIONS 预检），得到确认后才会向服务器发送真正的请求，也就是同源策略。

如今大部分本地应用采用的是 jwt 方式保存登录信息，因此也就避免了浏览器 cookie 的漏洞，所以不需要同源策略，虽然现在的网页也可以使用 jwt 方式认证，但是为了兼容性，浏览器依然需要使用原有的 cookie 发送策略，才会有同源策略这一限制。

那么以后会不会出现某种新的浏览器 API ，使用此 API 时可以抛弃原有的 cookie 策略，允许开发者自由访问其他域名的请求呢？

2022-03-26 22:54:06 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@pursuer 有一定的道理，不知道如果以后添加 pwa 也可以被视为“用户知道自己在做什么”的话，会不会取消一定程度的同源限制，postman pwa 版多好啊

2022-03-26 22:44:30 +08:00

回复了 chuanqirenwu 创建的主题 › 程序员 › 博客改版，有没有极简风的博客主题推荐参考？

真极简还得看这个 https://glink25.github.io ，基于 vitepress 的，简得不能再简

2022-03-26 22:32:59 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

各位可以换个角度想想这个问题，为什么浏览器对网页的限制要比操作系统对本地应用的限制要多得多？

理论上来说，本地应用能获取到的信息、对用户系统的危害远大于网页，为什么反而是浏览器的安全措施更严格（特指网络请求方面）？仅仅是因为本地应用需要下载安装这个步骤比较麻烦吗？那如果以后应用体积越来越小，例如 App Clip 和安卓快应用这类轻量的应用也需要收到类似同源策略的限制吗？

还是说，因为浏览器本身的历史原因，它无法做到和本地应用一样的安全性，才不得已选择了同源策略这种较为严格的手段呢？

2022-03-26 22:23:14 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@jiangzm 换个角度想想，为什么操作系统没有对本地应用程序设置类似同源策略的限制，目前的 web 应用已经基本上可以做到和本地应用一样的登录认证逻辑了吧，那为什么浏览器要格外严格呢？
如果我在我的应用程序代码里也嵌入了很多其他网站的请求，这是不是也属于非预期请求呢？浏览器对网页如此严格的限制看起来还是有其他的原因在

2022-03-26 22:11:16 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@lscho 第二个解释里，浏览器如果不能代替网站提供商做决定的话，就更不需要如此严厉的同源策略才对，应该把这些东西都交给 js 去控制，这不是更好吗？

2022-03-26 22:08:44 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@BeautifulSoap 目前的同源策略无法防止你说的这种情况哦，如果黑客已经在你的网站里插入了恶意代码，他完全可以直接访问他自己的服务器，只需要用 cors 跨域就可以了。

2022-03-26 19:15:08 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@nuk 嗯，所以我觉得，同源策略最主要的目的不是保护网站自己，而是保护其他服务器不被网站攻击，就好像你也可以发给他一条 curl 命令骗他输到终端里一样，但是打开网页比起打开终端或者其他应用来说要方便多了，所以才会用同源策略来禁止网站的能力

2022-03-26 19:09:29 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@des 如果浏览器能做到足够安全的沙盒环境，把每个网站视作独立的本地应用来看待，不让网站有互相访问本地数据的可能性就可以防止这一点了，类似于 bilibili 客户端和手机银行客户端的关系，而不需要使用现在这个这么严格的同源策略，所以说目前的同源策略目的也不是为了防止这种问题。

2022-03-26 19:06:48 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

这里说一下我的理解吧：

如果浏览器能像本地应用程序那样做好沙盒环境，保证一个网站无法读取到另一个网站的本地数据（包括 cookie 、localstorage 等等）的话，对于网站而言，这样的安全性已经足够了。但是网页和本地应用最大的区别是网页打开太方便了，导致用户受到的网络攻击的可能性远远高于本地应用，并且浏览器对自己采取的安全措施十分不放心，正如这个[回答]( https://stackoverflow.com/questions/29167428/same-origin-policy-and-cors-whats-the-point)中说的一样，浏览器的安全措施如果仅仅是刚好够用的话都已经不能满足 W3C 对安全的要求了

`This all shows that the security model of WWW is very subtle and not well thought of. It has evolved instead of being well-designed. `

如果允许网页无限制地访问非同源网站内容，那么浏览器潜在的漏洞导致的安全事故会极大地影响互联网的安全，除去可能存在的隐私泄漏问题，恶意网站还可能会让每一个访问它的用户为它打工，例如静默访问其他网站刷取点击量，或者成为 DDOS 的帮凶，因此 W3C 才选择了现在的这个极为严格的同源策略作为安全手段，就是为了尽可能减少安全问题。

1 2 3

❮

❯