Кто-то может объяснить мне, как функция "Same Origin Policy" защищает нас от веб-нападений (XSS, CSRF, и т.д.)?
Это зависит от контекста.
Если у Вас есть "Тот же Источник" политика в отношении выполняющихся сценариев в веб-сайте затем только сценарии, которые прибывают из того же доменного имени (веб-сайт), как сам веб-сайт может быть выполнен. Это мешает хакерам ввести сценарии в веб-сайт через такие вещи как изворотливые объявления и такой.
Если у Вас будет "Тот же Источник" на таких вещах как вызовы Ajax, то сервер будет только соблюдать запросы на вызовы Ajax, которые прибывают из домена веб-сайта, что сервер Ajax связан. Это предотвращает другие сайты от ошибочного вызова Ваших стандартных программ Ajax.
Таким образом, это должно в основном попытаться гарантировать, чтобы запросы и сценарии прибыли из корректных местоположений и не были заменены или представлены хакерами.