1 同源策略

同源策略是瀏覽器的一個(gè)安全功能，不同源的客戶端腳本在沒(méi)有明確授權(quán)的情況下，不能讀寫(xiě)對(duì)方資源。所以xyz.com下的js腳本采用ajax讀取abc.com里面的文件數(shù)據(jù)是會(huì)被拒絕的。

同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來(lái)自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。

影響其因素：host，子域名，端口，協(xié)議

解決跨域問(wèn)題:1 制定了XMLHttpRequest跨域訪問(wèn)標(biāo)準(zhǔn)，它需要通過(guò)目標(biāo)域返回的HTTP頭來(lái)授權(quán)是否允許跨域訪問(wèn)，因?yàn)閔ttp頭對(duì)于JavaScript來(lái)說(shuō)一般是無(wú)法控制的

? ? ? ? ? ? ? ? ? 2解決插件的跨域問(wèn)題，實(shí)行是策略文件，我認(rèn)為核心本質(zhì)是白名單的行為。

2瀏覽器沙箱

sandbox設(shè)計(jì)是為了讓不可信任的代碼運(yùn)行在一定的環(huán)境中，限制不可信的代碼訪問(wèn)隔離區(qū)之外的資源。如果一定要跨越sandbox邊界進(jìn)行數(shù)據(jù)交換，通過(guò)指定的數(shù)據(jù)通道，比如經(jīng)過(guò)封裝的API來(lái)完成。

3惡意網(wǎng)址攔截

我自己總結(jié)為主要分為兩種，一種是黑名單行為，如phishtank網(wǎng)站。另一種采用EV SSL證書(shū)，加強(qiáng)對(duì)安全網(wǎng)站的識(shí)別。

4高速發(fā)展的瀏覽器安全

IE8曾經(jīng)推出XSSFilter，用以對(duì)抗反射型XSS。

FIREFOX曾經(jīng)推出過(guò) Context Security Policy ，做法是由服務(wù)器端返回一個(gè)HTTP頭，并在其中描述頁(yè)面應(yīng)該遵守的安全策略。雖然描述靈活，但配置復(fù)雜，不實(shí)用。