爲什麼同源策略會阻止讀取GET響應？

Question

我在網上做了一些研究，並搜索了幾個關於SOP的問題以及它減輕了哪些類型的濫用，但大多數答案都集中在防止盜取證書。這對我有意義。

對我來說沒什麼意義的是，遵循SOP規則的瀏覽器直接阻止響應，而不是阻止cookie和本地存儲訪問。

換句話說，如果cookie和本地存儲不存在，是否仍然需要防止讀取GET響應？據推測，這已經在某種程度上發生了<img>,<script>和。

Answer 1

根據Mozilla Developer Network：

同源策略限制是如何從一個原點加載的文檔或腳本可以從其他產地的資源進行交互。這是隔離潛在惡意文件的重要安全機制。

根據RFC 6454：

雖然用戶代理組的URI，起源，而不是在 每個資源的原產地攜帶相同的權限（在 字「權威」的安全感，而不是在[RFC3986]意義）。例如，圖像 是被動內容，因此沒有權限，這意味着圖像不能訪問可用於其原始對象和資源的對象。相比之下，一個HTML文檔具有完整的權限 其來源，並且腳本內的文檔可以通過 訪問源文件中的每個資源。

要回答你的問題，即使不存在cookies和本地存儲，這將是危險還是在文檔的上下文中執行腳本不明。這些腳本可以使用與授權腳本相同的IP發出XHR請求，並且表現不佳。