我正在研究工作项目的“同源来源政策”

看来原产地政策是非常强大的政策，不能被打破吗？

我已经测试过iframe，CSS历史记录URL hack作为破解它的可能方法。

我想知道是否有可能对可能的测试提出任何想法，无论它们对测试相同的原产地策略是否有效。是否有关于如何在虚拟netkit环境中进行DNS重新绑定的简单教程？

谢谢

首先，您应该了解“同源起源策略”（SOP）的要求，而Browser Secuirty Handbook是实现此目标的绝佳资源。

话虽这么说，网站有很多方法可以撤销SOP对他们的保护。 XSS是一个很好的例子，因为它可以用于访问另一个域上的数据，所以一个很好的例子是the samy worm。

SOP不能阻止跨站点请求伪造攻击。这个想法是，您可以发送请求，但看不到响应。在这种攻击中，请求引起了副作用，例如更改用户密码。

Clickjacking是另一个缺陷示例，其中事件（鼠标移动事件，点击事件，击键事件）被传递到另一个域并可能导致问题。

然后人们有意绕开了SOP，CORS和JSONP是一个很好的例子。还有Flash的crossdomain.xml文件。

最后但并非最不重要的，SOP bypass vulnerabilities are incredibly common in browsers.。