我來回答樓主的問題吧~

同源策略，限制了來自不同源的"document"或腳本，對當前"document"讀取或設置某些屬性。從一個域上加載的腳本不允許訪問另外一個域的文檔屬性。

比如一個惡意網站的頁面通過iframe嵌入了銀行的登錄頁面（二者不同源），如果沒有同源限制，惡意網頁上的javascript腳本就可以在用戶登錄銀行的時候獲取用戶名和密碼。

在瀏覽器中，<script>、<img>、<iframe>、<link>等標簽都可以加載跨域資源，而不受同源限制，但瀏覽器限制了JavaScript的權限使其不能讀、寫加載的內容。

另外同源策略只對網頁的HTML文檔做了限制，對加載的其他靜態資源如javascript、css、圖片等仍然認為屬于同源。

同源機制的精髓很簡單：它認為自任何站點裝載的信賴內容是不安全的。當被瀏覽器半信半疑的腳本運行在沙箱時，它們應該只被允許訪問來自同一站點的資源，而不是那些來自其它站點可能懷有惡意的資源。