1. 在同源策略中，不同域的網(wǎng)站不能訪問(wèn)彼此的cookie。

2. 通過(guò)設(shè)置子域名可以限制不同域之間的cookie訪問(wèn)。

3. 在設(shè)置cookie時(shí)，不應(yīng)該依賴路徑（path）來(lái)限制訪問(wèn)。

4. 設(shè)置cookie時(shí)，應(yīng)該將路徑（path）明確設(shè)置為站點(diǎn)的根目錄。

5. HTTP Only屬性可以防止通過(guò)JavaScript訪問(wèn)cookie。

6. SameSite是一個(gè)cookie屬性，可以防止cookie在由其他站點(diǎn)發(fā)起的請(qǐng)求中發(fā)送。

7. SameSite有三個(gè)設(shè)置：默認(rèn)設(shè)置為none，lax設(shè)置僅對(duì)子資源請(qǐng)求生效，strict設(shè)置不發(fā)送任何cookie。

8. SameSite的默認(rèn)設(shè)置可能導(dǎo)致一些使用情況出現(xiàn)問(wèn)題，如Facebook評(píng)論框和廣告追蹤。

9. Google提出將SameSite的默認(rèn)設(shè)置改為lax，并將使用SameSite等于none的cookie標(biāo)記為secure以增加安全性。

10. 這些改進(jìn)預(yù)計(jì)很快會(huì)在Chrome中推出。

11. 設(shè)置cookie的時(shí)長(zhǎng)通?？梢栽O(shè)置為30天，可以通過(guò)發(fā)送set cookie header來(lái)重置計(jì)數(shù)器。

12. 為了保護(hù)cookie免受JavaScript的攻擊，可以設(shè)置HTTP only為true。

13. 為了防止CSRF攻擊，可以設(shè)置same site屬性。

14. 清除cookie時(shí)，需要確保所有屬性與設(shè)置時(shí)完全相同，除了max age屬性。

15. 同源策略的基本思想是不同源的頁(yè)面不應(yīng)該相互干擾，同源的定義是協(xié)議、主機(jī)名和端口號(hào)相同。

16. 在瀏覽器中，由于同源策略的限制，不同域名的網(wǎng)站無(wú)法直接相互訪問(wèn)和交互。

17. 同源策略的目的是保護(hù)用戶的個(gè)人信息和數(shù)據(jù)安全，防止惡意網(wǎng)站獲取用戶的敏感信息。

18. 同源策略在瀏覽器中得到了一致的實(shí)現(xiàn)，但在某些遺留的Web功能中可能沒(méi)有得到嚴(yán)格執(zhí)行。

19. 有一些方法可以放寬同源策略的限制，如設(shè)置document.domain或使用iframe通信。

20. 但是需要注意，某些方法可能存在安全風(fēng)險(xiǎn)，需要謹(jǐn)慎使用。

21. 使用iframe和postMessage可以實(shí)現(xiàn)跨域通信。

22. postMessage API可以在兩個(gè)不同源的頁(yè)面之間發(fā)送字符串或?qū)ο蟆?/p>

23. postMessage API可以復(fù)制復(fù)雜對(duì)象并處理循環(huán)引用。

24. 通過(guò)transferable objects可以實(shí)現(xiàn)零拷貝傳輸數(shù)據(jù)。

25. 使用postMessage API可以繞過(guò)同源策略，實(shí)現(xiàn)頁(yè)面間的合作和通信。