跨源与跨站、CORS、Cookie的SameSite属性详解

一、跨源与跨站

四个概念

同源same origin
跨源cross origin
同站same site
跨站cross site

首先我们要清楚，跨源和跨站(同源和同站)不是一个概念，跨源是cross origin，跨站是cross site。但其实，这两者是子集的关系，跨站了就必定跨源了，但跨源不一定跨站

1.同源、跨源
同源的要求很严格，两个URL必须协议、域名、端口都相同才会算作同源，否则为跨源
假设有一个URLhttp://test.pasiphae321.top/about/mercury.html，下表是对相关URL是否与其同源的判断

URL	是否同源	原因
ftp://test.pasiphae321.top/about/mercury.html	不同源	协议不同
https://test.pasiphae321.top/about/mercury.html	不同源	协议不同
http://attempt.pasiphae321.top/about/mercury.html	不同源	域名不同
http://test.pasiphae321.top:8080/about/mercury.html	不同源	端口不同
http://test.pasiphae321.top/post/venus.html	同源	只有路径不同

关于同源策略的文档见https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

2.同站、跨站
同站的要求较为宽松，只要URL的域名的公共后缀+1相同就属于同站，否则为跨站
**公共后缀(public suffix)**指的是个人、公司、组织能在其上注册子域的域，如com、net、cn、github.io、com.cn、com.ac等，所有的公共后缀见由mozilla的志愿者维护的公共后缀列表(public suffix list)
了解更多关于公共后缀的信息，见https://publicsuffix.org/learn/

例如，www.pasiphae321.top和ftp.pasiphae321.top，这两个域名对应的公共后缀就是top，公共后缀+1均为pasiphae321.top，所以属于同站

3.简单跨源请求、非简单跨源请求
(1)跨源请求
在一个HTML文件里，假设有