Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1076

同源策略 (SOP)

审核人Cybersecurity entrepreneur & security researcher

同源策略 (SOP) 是什么?

同源策略 (SOP)浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。


同源策略是 Web 安全的基础隔离边界,最早随 Netscape Navigator 2(1995 年)推出。只有当两个 URL 的协议、主机和端口都相同时才视为同源,否则浏览器会阻止脚本读取响应、访问跨源框架的 DOM 或检查其他站点的 Cookie。SOP 可防止恶意页面读取另一个标签页中的网银会话内容。

SOP 管什么、不管什么

SOP 限制的是“读取”,而非“发送”:页面仍可发起跨源请求(<form> 提交、<img> 加载),这正是 CSRF 成为独立漏洞类别的原因。它通过 CORS(定义于 WHATWG Fetch 标准)、postMessagedocument.domain 以及遗留的 JSONP 模式有选择地放宽。过于宽松的例外——例如把请求中的来源回显到 Access-Control-Allow-Origin 并同时设置 Access-Control-Allow-Credentials: true——是跨源数据泄露和身份验证绕过的常见根因。

超越 SOP 的加固

2018 年 Spectre 侧信道披露表明,仅靠 SOP 无法阻止一个源在共享渲染进程内读取另一个源的内存。Chrome 67 因此默认启用 站点隔离(Site Isolation),将每个站点放入独立的操作系统进程,并加入了如今已纳入 Fetch 标准的 跨源读取阻断(CORB)。现代防御在 SOP 之上叠加 COOP、COEP、CORP 响应头,以启用完整的跨源隔离。

flowchart TD
  A[来自 https://app.example:443 的脚本] --> B{目标源是否匹配?<br/>协议 + 主机 + 端口}
  B -->|同源| C[允许读取响应、DOM 与 Cookie]
  B -->|跨源| D{是否显式放宽?}
  D -->|CORS / postMessage| E[受响应头控制的访问]
  D -->|无| F[浏览器阻断读取<br/>CORB / 不透明响应]

常见问题

同源策略 (SOP) 是什么?

浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。 它属于网络安全的 应用安全 分类。

同源策略 (SOP) 是什么意思?

浏览器的安全规则,限制来自一个源的文档或脚本如何与来自不同源的资源交互。

如何防御 同源策略 (SOP)?

针对 同源策略 (SOP) 的防御通常结合技术控制与运营实践,详见上方完整定义。

同源策略 (SOP) 还有哪些其他名称?

常见的别称包括: SOP。

相关术语

另见