同源策略（Same-Origin Policy）是一个浏览器安全策略，用于限制一个网页文档或脚本如何与另一个源（域名、协议和端口组合）的资源进行交互。这个策略有助于防止恶意网站利用用户的信息来执行跨站点攻击。

具体来说，同源策略规定：

源定义： 如果两个 URL 的协议、主机名和端口号完全相同，则它们属于同一源。否则，它们就属于不同的源。资源限制： 一个网页只能访问属于同一源的资源。这意味着 JavaScript 代码、Cookies、LocalStorage 和其他一些资源只能与来自同一源的页面进行交互。例如，一个网页通过 JavaScript 不能直接访问另一个不同源的网页的内容，也不能通过 AJAX 请求直接获取不同源的数据。

同源策略的存在是为了保护用户的隐私和安全。如果没有同源策略，恶意网站可以利用用户在其他网站上的登录信息或者其他敏感信息来执行各种攻击，例如跨站脚本（XSS）攻击、跨站点请求伪造（CSRF）攻击等。

尽管同源策略对于保护用户安全至关重要，但它也会带来一些限制，尤其是在开发跨域应用程序时。为了克服这些限制，可以使用诸如跨域资源共享（CORS）和 JSONP（JSON with Padding）等技术来实现跨域资源的安全共享。