1. 同源与同站浏览器安全的两道防线浏览器就像一位严格的保安时刻守护着用户数据的安全。它有两套不同的安检标准同源策略和同站策略。这两套标准看似相似实则有着本质区别。先来看个生活场景假设你住在一栋公寓里example.com同源策略就像要求访客必须和你住在同一楼层、同一房间号协议域名端口完全一致而同站策略则只要求访客和你住在同一栋楼eTLD1相同。1.1 同源策略最严格的安检标准同源策略是浏览器的铁律必须同时满足三个条件才算同源协议相同HTTP和HTTPS属于不同源域名相同www.example.com和api.example.com属于不同源端口相同默认端口80/443与其他端口属于不同源// 基准地址https://shop.example.com:443 const originCheck (url) { return new URL(url).origin https://shop.example.com:443 } // 测试案例 originCheck(http://shop.example.com) // false协议不同 originCheck(https://pay.example.com) // false域名不同 originCheck(https://shop.example.com:8080)// false端口不同1.2 同站策略关注核心身份标识同站判断则宽松得多它只关注有效顶级域名(eTLD)二级域名的组合eTLD.com、.co.uk等公共后缀eTLD1example.com、github.io等核心标识| 场景 | 同站判断 | 结果 | |-------------------------|-----------------------|----------| | a.example.com | example.com | 同站 | | b.example.com | example.com | 同站 | | x.github.io | github.io | 同站 | | example.com.cn | com.cn特殊eTLD | 需具体分析 |1.3 关键结论跨站一定跨域反之不成立这个结论就像说所有大学生都是学生但学生不一定是大学生。具体表现为跨站 → eTLD1不同 → 必然导致域名不同 → 跨域跨域但同站 → 子域名不同如a.example.com和b.example.com2. 为什么需要双重安全机制2.1 同源策略的防御重点同源策略主要防范三类风险数据窃取阻止恶意网站读取其他站点的Cookie、LocalStorage等DOM篡改禁止操作跨域iframe内的DOM元素请求伪造限制发送跨域AJAX请求默认情况下// 典型同源限制场景 fetch(https://api.example.com/data) .then(response response.json()) // 会被浏览器拦截除非api.example.com配置了CORS2.2 同站策略的Cookie保卫战Cookie的SameSite属性有三个级别Strict完全禁止跨站携带适用于银行系统Lax仅允许导航类GET请求默认值None允许所有跨站请求需配合Secure# 正确的跨站Cookie配置 Set-Cookie: sessionabc123; SameSiteNone; Secure; Path/3. 实战中的经典问题场景3.1 跨域难题破解方案方案一CORS首选方案# 服务器响应头示例 Access-Control-Allow-Origin: https://your-site.com Access-Control-Allow-Methods: GET,POST Access-Control-Allow-Headers: Content-Type Access-Control-Allow-Credentials: true方案二Nginx反向代理server { listen 80; location /api { proxy_pass http://backend:3000; add_header Access-Control-Allow-Origin $http_origin always; } }方案三WebSocket// 前端代码 const socket new WebSocket(wss://echo.websocket.org) socket.onmessage (event) { console.log(收到消息:, event.data) }3.2 跨站Cookie的救赎第三方登录场景的典型配置# OAuth服务商的Cookie配置 Set-Cookie: oauth_tokenxyz; Domain.auth-provider.com; SameSiteNone; Secure; Path/4. 现代架构中的特殊挑战4.1 微前端架构方案子应用间共享Cookie的配置要点设置共享DomainSet-Cookie: session123; Domain.example.com; Path/主应用配置CORSAccess-Control-Allow-Origin: https://app1.example.com Access-Control-Allow-Credentials: true4.2 Serverless环境的特殊处理在无服务器函数中需要显式处理OPTIONS请求exports.handler async (event) { if (event.httpMethod OPTIONS) { return { headers: { Access-Control-Allow-Origin: *, Access-Control-Allow-Headers: Content-Type }, statusCode: 204 } } // 正常业务逻辑... }5. 安全与便利的平衡艺术在实际项目中我经常遇到这样的权衡某个API是否需要开放给所有子域名第三方组件该如何安全集成经过多次踩坑总结出几个原则最小权限原则CORS配置尽量指定具体域名而非通配符防御性设计即使配置了SameSiteNone也要验证请求来源监控报警对异常的跨域请求建立监控机制比如电商网站的支付页面就应该采用Strict模式Set-Cookie: checkout_sessionid123; SameSiteStrict; Secure; HttpOnly而内容网站的社交分享组件则适合Lax模式Set-Cookie: social_share1; SameSiteLax; Path/share