同源策略（Same-Origin Policy, SOP）是Web浏览器的安全机制，限制不同源间的交互，确保用户隐私和数据安全。XHR同源策略要求请求和响应来源一致，Cookie同源策略则确保Cookie只能被同源页面访问。CORS（跨源资源共享）通过HTTP头部允许跨源请求，打破了同源策略限制，支持跨域资源访问。CORS包括简单请求和预检请求机制，但不当配置可能导致安全风险，如跨站请求伪造（CSRF）。

GSS（Generic Security Services）是一个提供安全服务的通用框架，而GSS-API是其应用编程接口。GSS-API提供跨平台、机制无关的安全通信接口，支持身份验证、数据加密、数据完整性校验和安全上下文管理。它通过协商安全机制（如Kerberos）建立安全上下文，并通过加密保护通信。 GSS-API经常与SASL、SPNEGO和Kerberos协作使用，确保安全的身份验证和跨平台互操作性。GSS-API的优势在于其机制独立性和跨平台支持，但在实现和配置时复杂性较高。