前端经典面试题合集, 什么是浏览器的同源策略?为什么要有同源策略?

Step 1

Q:: 什么是浏览器的同源策略？

A:: 同源策略是一种用于隔离潜在恶意文件的重要安全机制。它限制了从一个源加载的文档或脚本如何与另一个源的资源进行交互。两个URL同源的条件是协议、域名和端口号都相同。

Step 2

Q:: 为什么要有同源策略？

A:: 同源策略的目的是为了防止恶意网站通过脚本访问另一个网站的敏感数据或进行跨站点请求伪造攻击（CSRF）。它确保了不同源之间的资源访问受到限制，从而保护用户的数据安全。

Step 3

Q:: 跨域请求如何实现？

A:: 跨域请求可以通过多种方式实现，如使用CORS（跨域资源共享）、JSONP、服务器代理等。其中，CORS是现代浏览器支持的标准解决方案，通过设置服务器响应头中的Access-Control-Allow-Origin等字段来允许跨域访问。

Step 4

Q:: CORS 是什么？

A:: CORS（Cross-Origin Resource Sharing）是W3C的一个标准，它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服AJAX只能从同源地址请求资源的限制。

Step 5

Q:: 什么是JSONP？

A:: JSONP（JSON with Padding）是一种通过<script>标签请求跨域资源的技术。它允许服务器返回包含回调函数的JSON数据，从而实现跨域请求。但JSONP仅支持GET请求。

Step 6

Q:: 什么是CSRF攻击？

A:: 跨站请求伪造（CSRF）攻击是一种利用用户身份认证信息的攻击方式。攻击者诱骗用户在已认证的情况下访问另一个恶意网站，导致用户在不知情的情况下执行恶意操作。