Same-Origin Policy

释义 Definition

同源策略：一种浏览器安全机制，限制网页脚本只能访问“同一来源（origin）”的资源与数据。“来源”通常由协议（scheme）+ 域名（host）+ 端口（port）共同决定。它主要用来防止恶意网站读取或操纵你在其他网站上的敏感信息。
（在现代 Web 中也常与 CORS 等机制配合，允许在受控条件下进行跨域访问。）

发音 Pronunciation (IPA)

/ˌseɪm ˈɔːrɪdʒɪn ˈpɑːləsi/

例句 Examples

The same-origin policy blocks this page from reading data on another domain.
同源策略会阻止这个页面读取另一个域名上的数据。

Although the API is public, the browser enforces the same-origin policy unless the server enables CORS or another approved sharing method.
即使这个 API 是公开的，浏览器仍会执行同源策略，除非服务器启用 CORS 或其他被允许的共享方式。

词源 Etymology

该术语由三部分组成：same（相同的）+ origin（来源/起点）+ policy（策略/规则）。它在 Web 安全语境中，“origin”被专门定义为网页的来源三元组（协议、域名、端口），而“policy”强调这是浏览器必须遵守的一套安全规则。

相关词 Related Words

• Browser
• CORS
• Cookie
• CSRF
• Fetch
• Iframe
• Origin
• Sandbox
• Session
• XSS

文学与文献出现 Works & References

• RFC 6454: The Web Origin Concept（对 “origin” 概念进行标准化定义，与同源策略密切相关）
• HTML Living Standard（WHATWG，涉及浏览器安全模型与同源相关行为）
• MDN Web Docs（“Same-origin policy” 条目，面向开发者的经典参考）
• JavaScript: The Definitive Guide（David Flanagan，讨论浏览器安全限制时常提及同源策略）
• Web Application Security / The Tangled Web（Web 安全相关书籍中对同源策略与跨域风险的系统讲解）