CORS(跨域资源共享)和SOP(同源策略)

最新推荐文章于 2024-11-13 23:09:36 发布
最新推荐文章于 2024-11-13 23:09:36 发布
阅读量608 收藏 3
点赞数 14
文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80892630/article/details/143608809
版权

        CORS(跨域资源共享)和SOP(同源策略)不是同一个东西,但它们紧密相关,并且常常一起讨论,因为 CORS 是为了解决同源策略带来的跨域问题而引入的。

同源策略(Same-Origin Policy)

同源策略是一种浏览器安全机制,用于限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。同源策略的核心是确保不同源之间的资源不会互相干扰,从而保护用户的安全。

  • 同源定义

    • 协议(protocol)、主机(host)和端口(port)三者必须完全相同,才被认为是同源。
    • 例如,http://example.com/page1 和 http://example.com/page2 是同源的,但 http://example.com 和 https://example.com 不是同源的(协议不同),http://example.com 和 http://sub.example.com 也不是同源的(主机不同)。

  • 同源策略的限制

    • JavaScript 不能直接访问不同源的页面内容。
    • AJAX 请求不能发送到不同源的服务器。
    • Cookie、LocalStorage 等存储机制也有同源限制。

CORS(跨域资源共享)

CORS 是一种机制,它允许服务器在响应中添加特定的 HTTP 头,从而允许浏览器放宽同源策略的限制,使得不同源的网页可以请求和访问资源。

  • CORS 的工作原理

    • 预检请求(Preflight Request):对于复杂请求(如带有自定义头的请求、PUT 或 DELETE 请求),浏览器会先发送一个 OPTIONS 请求到服务器,询问服务器是否允许实际的请求。
    • 简单请求(Simple Request):对于简单请求(如 GET、POST 请求,且没有自定义头),浏览器会直接发送请求,但在请求头中会包含 Origin 字段,表明请求来自哪个源。
    • 服务器响应:服务器在响应中添加 Access-Control-Allow-Origin 头,表示允许哪些源访问资源。如果源不在允许列表中,浏览器会阻止请求。

  • CORS 的优点

    • 允许跨域请求,提高前后端分离开发中的灵活性。
    • 增强了安全性,因为服务器可以控制哪些源可以访问资源。

总结

  • 同源策略:是一种浏览器安全机制,限制不同源之间的资源交互。
  • CORS:是一种解决同源策略限制的机制,允许服务器通过特定的 HTTP 头放宽同源策略,使得跨域请求成为可能。

虽然它们不是同一个东西,但 CORS 是为了解决同源策略带来的跨域问题而设计的。理解它们之间的关系和区别,有助于更好地进行 Web 开发和安全配置。

wdxylb
关注
实战分析精华总结:CORS资源共享漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 1901
实战分析精华总结:CORS资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
资源共享cors
weixin_42564451的博客
08-18 490
浏览器为了安全起见,遵循同源策略(Same-origin policy),即只有当请求的源(协议、名、端口)与资源所在的源完全相同时,才允许进行交互。是一种机制,用于放宽浏览器同源策略,使得一个可以访问另一个的数据。:对于不符合简单请求条件的请求,浏览器会自动发送一个预检请求(OPTIONS方法),以询问服务器是否允许实际请求。一个简单的GET请求可以直接发送到服务器,而一个包含自定义头部的POST请求则会先发送一个预检请求。的资源,如果没有CORS的支持,浏览器会阻止这个请求。
同源策略CORS--JSONP
小白小白从不日别的博客
05-18 935
主要介绍了两种常见的解决方案
同源策略以及CORS资源共享
Allurewuhui的博客
03-28 1625
一;同源策略: 1.同源是一种安全机制,为了预防某些恶意行为(例如 Cookie 窃取等),浏览器限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。 2.满足同源要具备三方面:协议相同、名相同、端口相同。 3.只要以上三点有一点不满足,就会产生,解决常见的方法:JSONP,CORS。 二;什么是CORS: 1.CORS (Cross-Origin Resource Sharing,资源共享)由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器是否阻止前端
CORS带来的隐患
不忘初心,护天下安全!
10-08 3905
资源共享CORS资源共享(cors)可以放宽浏览器同源策略,可以通过浏览器不同网站不同的服务器之间通信。 1.同源策略 同源策略浏览器安全中是一种非常重要的概念,大量的客户端脚本支持同源策略,比如JavaScript。 同源策略允许运行在页面的脚本可以无限制的访问同一个网站(同源)中其他脚本的任何方法属性。当不同网站页面(非同源)的脚本试图去互相访问的时候,大多数的方法...
使用 Express 写接口
weixin_43563864的博客
10-27 1492
1. 使用 Express 写接口 1.实例 // express.js const express = require('express') const app = express() const port = 80; // 配置解析表单数据的中间件 app.use(express.urlencoded({ extended: false })); const apiRouter = require('./14apiRouter'); // 把路由模块,注册到 app 上 app.use('/api',
【WEB】深入理解 CORS资源共享):原理、配置与常见问题
最新发布
人生苦短,睡觉要紧,睡醒再说
11-13 3155
浏览器同源策略(Same-Origin Policy)是一种重要的安全机制,用于阻止不同源()之间的恶意操作。根据同源策略,网页中的脚本只能访问与其所在网页相同源的资源。协议(Scheme):如http://或https://;主机(Host):如或;端口(Port):如80或8080。如果请求的协议、主机名或端口号不一致,浏览器将视为请求,默认会阻止这样的访问。属于不同来源(协议不同);属于不同来源(主机名不同);属于不同来源(端口不同)。如果不使用cors// 允许的源。
漫谈同源策略SOP资源共享CORS
IerkeU的博客
04-22 4391
漫谈.....
CORS资源共享漏洞
墨鱼菜鸡
01-16 250
目录 CORS资源共享 简单请求 非简单请求 CORS的安全问题 有关于浏览器同源策略如何获取资源,传送门——>浏览器同源策略的实现方法 同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的内共享。这有效防止了系统机密信息的泄露。但与此同时,...
资源共享CORS
柒君的博客
09-15 303
只有 浏览器 才有限制,因为浏览器同源策略。而其他任何能发请求的客户端都没有限制,比如CURL,postman等。 时,浏览器请求默认不会自动携带cookie 什么时候算? 协议,主机,端口,这三者组成了Origin(也可以叫做元组),只要三者中有一处不同就是不同源,违反浏览器同源策略,造成 例如:http://www.example.com:8080 参考链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS .
Nginx如何解决浏览器问题、Cors资源共享解决问题、浏览器同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 3083
如果有了浏览器同源策略浏览器就会判断,如果浏览器的源站,即发送请求的网页的名(或IP地址),与请求服务器的接口的(名(或ip地址)、端口、协议)不一致时,即为请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
【安全与风险】恶意软件-概念、攻击检测
qq_53058639的博客
01-24 1564
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
安全测试 之 常见安全漏洞:CORS
Orange_hhh的博客
06-03 912
CORS:(Cross-origin resource sharing)资源共享,CORS是一种机制,这种机制通过在http头部添加字段,通常情况下,web应用A告诉浏览器,自己有权限访问应用B。这样就可以解决源的问题了。
为什么浏览器不能
agzmcmr0333的博客
07-07 304
现在很多人特别是前端开发人员,在ajax请求,XMLHttpRequest的过程中会碰到一个问题,那就是请求: 当我们javaScript脚本试图访问时,浏览器会告诉你类似于No 'Access-Control-Allow-Origin' header is present on the requested resource.的消息。 可是我有时候又有请求的强烈需求,比...
资源共享CORS)-浏览器同源政策
a19576的专栏
06-12 380
http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.htmlhttp://www.ruanyifeng.com/blog/2016/04/cors.htmlhttps://developer.mozilla.org/en-US/docs/Web/HTTP/Server-Side_Access_Control
cors安全完全指南
一个码农的笔记
09-15 5543
这篇文章翻译自:https://www.bedefended.com/papers/cors-security-guide 作者:Davide Danelon 译者:聂心明 译者博客:https://blog.csdn.net/niexinming 版本:1.0 - 2018年-七月 1. _介绍 这个指南收集关于cors所有的安全知识,从基本的到高级的,从攻击到防御 ...
CORS同源策略
qq_45378970的博客
10-03 624
同源策略什么是同源策略(Same Origin Policy)?什么是?什么是名? 什么是同源策略(Same Origin Policy)? 所谓同源策略,所谓同源是指,名,协议,端口相同。它是浏览器的一种最核心最基本的安全策略。它对来至不同源的文档或这脚本对当前文档的读写操作做了限制。 为什么要有这个策略,想必你已经知道,那就是因为保证用户的信息安全。 什么是? 访问同源的资源是被浏览器允许的,但是如果访问不同源的资源,浏览器默认是不允许的。访问不同源的资源那就是我们所说的 什么是
CORS同源策略解决办法(node-learn)
Jonn1124的博客
04-01 249
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Do
CORS -同源策略
Leon_Jinhai_Sun的博客
04-06 302
同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略浏览器安全的基石。
cors资源共享配置不当
09-08
CORS资源共享配置不当可能会导致一些安全问题。近年来,在渗透测试报告中发现了越来越多的CORS资源共享漏洞。有些开发人员在写报告时可能会将CORS资源共享漏洞提及,但对于以下几个问题缺乏明确的解释。 为了实现通信而绕过同源策略SOP)并传递敏感信息,开发人员必须使用不同的技术。为了在不影响应用程序的安全性的情况下实现信息共享,HTML5引入了CORS(Cross-Origin Resource Sharing,资源共享)。然而,由于缺乏对CORS的了解,许多人倾向于使用默认配置,或者配置错误,这导致了一些问题的出现。 如果CORS资源共享配置不当,可能会引发一些安全风险。攻击者可以利用CORS漏洞来实施一些恶意行为,例如窃取用户的敏感信息、执行站脚本攻击等。因此,正确的CORS配置对于保护应用程序的安全性至关重要。 因此,开发人员在使用CORS时应该注意配置的正确性,遵循安全最佳实践,确保仅允许必要的请求,并且在共享资源时限制访问权限。此外,及时更新修复已知的CORS漏洞也是很重要的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值