1. 通過postMessage API進行跨源通信，可以使用iframe加載目標站點，并使用postMessage API發(fā)送消息。

2. 在使用postMessage時，發(fā)送方需指定允許接收消息的源，接收方需驗證發(fā)送方的身份。

3. 同源策略的自動例外包括：頁面可以嵌入其他源的圖片，頁面可以提交表單到其他源。

4. 使用SameSite cookies可以限制跨源請求，避免安全問題。

5. Referrer頭部可能導致緩存和隱私問題，可以通過設置SameSite cookies或禁用Referrer頭部來解決。

6. Cookie相比同源策略更具體和更寬泛，因為它們可以限定在網(wǎng)站的特定路徑下，但也可以設置給不同的來源。

7. DNS劫持可以允許攻擊者讀取不存在域名的cookie，從而導致潛在的安全風險。

8. 引薦者策略可以用來控制在引薦者頭中發(fā)送的信息，從而有助于防止敏感信息泄漏。

9. 難以防止對站點的鏈接，但可以檢查引薦者并根據(jù)其采取不同的行動。

10. 嵌入一個站點可能導致點擊劫持等攻擊，攻擊者可以在合法站點上覆蓋自己的內(nèi)容，并欺騙用戶與其進行交互。

11. 通過設置CSS屬性，可以使iframe透明，看起來像是隱藏的，但實際上仍然存在。

12. 使用same-site cookies可以防止點擊劫持攻擊。

13. 通過設置HTTP頭部中的deny frame選項，可以防止網(wǎng)頁被嵌入到其他頁面中。

14. framebusting技術存在漏洞，可以被繞過。

15. 使用新的HTTP頭部設置可以有效防止點擊劫持攻擊。

16. 瀏覽器可以檢查是否同源，以防止跨站請求偽造。

17. 可以使用same-site cookie來防止cookie附加到表單提交中，但無法阻止表單提交。

18. 可以使用origin header來限制瀏覽器請求其他源的權限。

19. 可以通過檢查referer header來阻止圖片嵌入。

20. 通過將請求放在腳本標簽中，可以繞過同源策略，但無法讀取返回的數(shù)據(jù)。

21. 問題：無法讀取執(zhí)行腳本，只能執(zhí)行腳本并觀察結果。

22. 解決方法：使用JSONP，將JSON數(shù)據(jù)包裝在自定義函數(shù)中，與服務器進行通信。

23. JSONP的缺點：服務器需要編寫額外的代碼來支持跨域請求，需要注意JSON字符串和合法JavaScript之間的差異，可能存在注入攻擊。

24. 跨站點包含攻擊：為了獲取數(shù)據(jù)，必須在本地網(wǎng)頁中嵌入來自其他站點的腳本，這可能導致遠程執(zhí)行攻擊。

25. 下次會介紹一種更好的解決方法，并討論跨站點包含攻擊。