出于安全考虑，浏览器会阻止跨域设置 cookie .举个例子：比如一个恶意网站的页面通过 iframe 嵌入了银行的登录页面（二者不同源），如果没有同源限制，恶意网页上的 javascript 脚本就可以在用户登录银行的时候获取用户名和密码。所谓同源：URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源.在浏览器中， <script> 、 <img> 、 <iframe> 、 <link> 等标签都可以加载跨域资源，而不受同源限制,而 cookie 则受到同源的限制。

同源策略限制