为什么同源策略会阻止读取GET响应？

Question

我在网上做了一些研究，并搜索了几个关于SOP的问题以及它减轻了哪些类型的滥用，但大多数答案都集中在防止盗取证书。这对我有意义。

对我来说没什么意义的是，遵循SOP规则的浏览器直接阻止响应，而不是阻止cookie和本地存储访问。

换句话说，如果cookie和本地存储不存在，是否仍然需要防止读取GET响应？据推测，这已经在某种程度上发生了<img>,<script>和。

Answer 1

根据Mozilla Developer Network：

同源策略限制是如何从一个原点加载的文档或脚本可以从其他产地的资源进行交互。这是隔离潜在恶意文件的重要安全机制。

根据RFC 6454：

虽然用户代理组的URI，起源，而不是在 每个资源的原产地携带相同的权限（在 字“权威”的安全感，而不是在[RFC3986]意义）。例如，图像 是被动内容，因此没有权限，这意味着图像不能访问可用于其原始对象和资源的对象。相比之下，一个HTML文档具有完整的权限 其来源，并且脚本内的文档可以通过 访问源文件中的每个资源。

要回答你的问题，即使不存在cookies和本地存储，这将是危险还是在文档的上下文中执行脚本不明。这些脚本可以使用与授权脚本相同的IP发出XHR请求，并且表现不佳。