浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作DOM，那么会有⼀套基础的安全策略的制约，我们把这称为 同源策略。它的存在可以保护用户隐私信息，防止身份伪造等(读取Cookie)

<img><link><script>三个标签是允许跨域加载资源

规则：

①同源策略限制了来⾃不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作

②同源策略限制了不同源的站点读取当前站点的Cookie、IndexDB、LocalStorage等数据。由于同源策略，我们依然⽆法通过第⼆个页面 来访问第⼀个页⾯中的Cookie、IndexDB或者LocalStorage等内容。

③同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。

参考来源：同源策略