同源策略是什么?作用是什么,三要素,跨域解决方法

已于 2024-04-18 16:26:45 修改
阅读量2.5k 收藏 14
点赞数 3
文章标签: 网络安全 web安全 策略模式 网络协议 tcp/ip http 网络
于 2023-12-12 15:30:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81475873/article/details/134950854
版权

同源策略(Same-Origin Policy)是Web安全的核心概念之一,它由Web浏览器实施,用来限制不同源之间的交互。这项策略规定,只有在协议、域名(或IP地址)和端口号三者均相同的情况下,一个网页或脚本才能访问另一个网页的内容。
在这里插入图片描述

定义

同源策略是Web安全的一个基本概念,它由浏览器实施,用来限制一个源(origin)的文档或脚本如何与另一个源的资源进行交互。它是一个关键的安全措施,用于隔离潜在恶意文件,防止恶意网站窃取数据。

作用

同源策略的主要作用是保护用户信息免受不同源的网页访问。它确保了敏感数据(如用户登录状态、个人信息等)的安全,防止了恶意脚本对数据的非法访问和操作。

三要素

同源策略中的“源”由以下三个要素定义:

  1. 协议:如HTTP、HTTPS。
  2. 域名:如example.com。
  3. 端口:如80(HTTP默认端口)、443(HTTPS默认端口)。

只有当这三个要素全部相同时,两个URL才属于同一个源。
在这里插入图片描述

跨域解决方法

虽然同源策略对安全至关重要,但在现代Web应用中,经常需要安全地实现跨源访问。以下是一些常见的跨域解决方法:

  1. CORS(跨源资源共享)

    • 通过在服务器端设置Access-Control-Allow-Origin头部,指明哪些源可以访问资源。
    • 是最常用的跨域解决方案。

  2. JSONP(JSON with Padding)

    • 利用<script>标签不受同源策略限制的特性,通过动态创建<script>标签来请求跨域资源。
    • 缺点是只支持GET请求,并且安全性较低。

  3. 代理服务器

    • 在服务器端设置一个代理,处理跨域请求。
    • 代理接收客户端的请求,然后将请求转发到目标服务器,再将响应返回给客户端。

  4. PostMessage

    • 用于在不同源之间安全地传递消息。
    • 常用于具有不同源的iframe之间的通信。

  5. WebSockets

    • 提供了一种在单个TCP连接上进行全双工通信的方法。
    • 不受同源策略的限制,可以用于跨源通信。

  6. Document.domain

    • 通过设置document.domain为相同的基础域名来允许具有相同根域的不同子域之间的通信。
    • 只适用于相同主域下的不同子域之间的交互。

同源策略是网络安全的基石,但随着Web应用变得越来越复杂和交互性强,跨域通信变得不可避免。因此,了解和正确实施跨域解决方案对于开发现代Web应用至关重要。

如果你对网络安全感兴趣,想学习黑客技术,我这里整理一份学习路线图和资料包(30G),可以免费自取。

网络安全线路图

在这里插入图片描述
在这里插入图片描述

白帽安全-黑客0175
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是同源策略
weixin_47032296的博客
12-23 1万+
什么是同源策略?1.什么是同源?2.什么是同源策略安全限制具体都组织了那些东西不可以被访问?3.想要进行数据交互怎么办? 1.什么是同源? 如果两个页面(接口)的协议、域名、端口号都相同,我们认为他们具有相同的源 2.什么是同源策略同源策略就是浏览器的一个安全限制,它阻止了不同【域】之间进行的数据交互 安全限制具体都组织了那些东西不可以被访问? 1.无法读取非同源策略下的cookie、localstorage 2.无法解除非同源的dom 3.无法向非同源的地址发送ajax请求 3.想要进行数据交
同源策略跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
10-2-同源策略
MichaelAn的博客
02-13 400
10-2-同源策略 第十章 BOM 2021-11-24 简单过一次 10.7 同源策略 Same-origin 介绍 起源:不同源的网页不能打开cookie。 同源:协议域名端口都相同。 目的:保证用户数据的安全,防止恶意网站窃取用户数据。 现在:无法获取非同源网页的cookie,localStorage,I...
什么是同源策略
qq_44818085的博客
10-27 1万+
1.同源策略是什么? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能 如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是一个安全策略。所有支持JavaScript的浏览器都会使用这个策略 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。 2.为什么要同源限制? 同源策略存在的意义: 非同源下的 cookie 等隐私数据可以被随意获取 非同源下的 DOM 可以的随意操作 ajax 可以任意请求的话,用
HTTP1.1(十三)浏览器为什么要有同源策略
wzj_110的博客
05-07 320
CSRF跨站请求伪造攻击。如何防止CSRF攻击。
解决openlayers跨域访问的解决方案
10-18
然而,由于浏览器的同源策略限制,当你尝试从不同的域加载地图或者地理数据时,可能会遇到跨域访问的问题。下面将详细介绍如何解决OpenLayers中的跨域问题。 ### 一、理解同源策略 同源策略Web浏览器的一项安全...
前端大厂最新面试题-cors.docx
06-06
如果这三个要素中任何一项不匹配,浏览器就会阻止前端JavaScript代码获取响应,从而产生跨域问题。需要注意的是,跨域限制仅存在于浏览器环境中,通过Postman或其他非浏览器工具请求接口是不会受到此限制的。 **...
从WFS服务器添加功能1
08-03
然而,JavaScript的同源策略限制了跨域请求,这意味着你不能直接从一个域向其他域发起AJAX请求,除非目标服务器允许这种行为。为了解决这个问题,有几种技术可以采用,包括JSONP(JSON with Padding)和CORS(跨源...
接收外部json数据的地理处理服务收集.pdf
11-06
- 由于JavaScript的同源策略,可能遇到跨域问题。代码可能需要对Esri的API进行调整,允许跨域请求。可以通过设置CORS(跨源资源共享)或使用JSONP(JSON with Padding)等技术来解决。 5. **安全与性能优化**: -...
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
200行代码的泛JSONP解析器
08-12
当浏览器发出一个对不同源的`<script>`请求时,浏览器会忽略同源策略的限制。服务器端接收到请求后,不仅返回JSON格式的数据,还会将其包装在一个JavaScript函数调用中,如`callback({key: 'value'})`。客户端预先...
为什么会有同源策略? 什么情况下会碰到跨域问题?有哪些解决方法
weixin_44195250的博客
10-29 2918
1、同源策略是为了保护网站的安全,防止用户信息泄露,防止身份伪造等(读取Cookie) 2、ajax请求不到数据的时候 3、jsonp 声明一个回调函数,其函数名(如fn)当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)。 创建一个<script>标签,把那个跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递该...
同源策略:保护你的网页免受恶意攻击的第一道防线(上)
最新发布
你若盛开,清风自来
12-19 897
同源策略是一种浏览器安全策略,用于限制不同源(例如不同的域名、协议或端口)之间的交互。它的主要目的是防止恶意网站窃取或篡改其他网站的敏感信息。在早期的 Web 开发中,同源策略的重要性并不突出,因为大多数网站都是独立的,并且没有太多的跨域交互需求。然而,随着 Web 应用程序的发展和普及,越来越多的网站开始使用第三方脚本、API 和内容,这就需要浏览器能够安全地处理来自不同源的请求。同源策略的重要性在于它可以保护用户的隐私和安全
Nginx如何解决浏览器跨域问题、Cors跨域资源共享解决跨域问题、浏览器的同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 2811
如果有了浏览器同源策略,浏览器就会判断,如果浏览器的源站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制跨域请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
CORS(跨域资源共享)、同源安全策略
时光的时的博客
07-13 672
什么是CORS ? CORS (Cross-Origin Resource Sharing,跨域资源共享)是一个系统,它由一系列传输的HTTP头组成,这些HTTP头决定浏览器是否阻止前端 JavaScript 代码获取跨域请求的响应。 什么是同源安全策略? 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源安全策略 默认阻止“跨域”获取资源。但是 CORS 给了web服务器这样的权限,即服务器可以选
Web安全开篇:浏览器为什么会有同源策略
Galaxy_0的博客
01-15 192
Web安全开篇:浏览器为什么会有同源策略
同源策略的目的
qq_41091678的博客
09-21 208
两个页面地址中的协议,域名,端口号一致,则表示同源 为什么浏览器要同源 设置同源策略的主要目的是为了安全,如果没有同源限制,在浏览器中的cookie等其他数据可以任意读取,不同域下的DOM任意操作,ajax任意请求其他网站的数据,包括隐私数据。 ...
前端二面必会面试题(附答案)
beifeng11996的博客
09-15 3136
前端二面必会面试题(附答案)
什么是跨域?如何解决跨域问题?
05-27
跨域是指在同一浏览器中,当前网页所处的域与请求资源所在的域不一致,就会发生跨域。例如,当前网页的域名为 `www.example.com`,但请求的资源来自于 `api.example.com`,就会发生跨域跨域问题是由浏览器的同源策略所引起的,同源策略要求不同域之间不能相互访问对方的数据。为了解决跨域问题,可以采用以下几种方法: 1. JSONP:利用 `<script>` 标签的跨域特性,通过动态创建 `<script>` 标签来实现跨域数据获取。 2. CORS:服务端设置允许跨域访问的 HTTP 头,浏览器在请求时会自动携带相应的头信息,从而实现跨域访问数据。 3. 代理:在同源策略下,通过服务器端转发请求来实现跨域访问,前端向自己的服务器发送请求,由服务器去请求目标接口,然后将结果返回给前端。 4. postMessage:在不同的窗口之间传递数据,通过 `window.postMessage` 方法来实现跨域通信。 5. WebSocket:通过 Websocket 来实现跨域通信,Websocket 协议本身就支持跨域访问,因此可以通过 Websocket 来实现跨域通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值