浏览器同源策略及其规避方法

最新推荐文章于 2024-06-03 09:43:04 发布
最新推荐文章于 2024-06-03 09:43:04 发布
阅读量1.1k 收藏 22
点赞数 22
分类专栏: 程序员 文章标签: chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84092903/article/details/137624540
版权

这样的话,二级域名和三级域名不用做任何设置,都可以读取这个Cookie。

三、iframe

如果两个网页不同源,就无法拿到对方的DOM。典型的例子是iframe窗口和window.open方法打开的窗口,它们与父窗口无法通信。

比如,父窗口运行下面的命令,如果iframe窗口不是同源,就会报错。

document.getElementById("myIFrame").contentWindow.document // Uncaught DOMException: Blocked a frame from accessing a cross-origin frame.

上面命令中,父窗口想获取子窗口的DOM,因为跨源导致报错。

反之亦然,子窗口获取主窗口的DOM也会报错。

window.parent.document.body // 报错

如果两个窗口一级域名相同,只是二级域名不同,那么设置上一节介绍的document.domain属性,就可以规避同源政策,拿到DOM。

对于完全不同源的网站,目前有三种方法,可以解决跨域窗口的通信问题。

  • 片段识别符(fragment identifier)
  • window.name
  • 跨文档通信API(Cross-document messaging)

3.1 片段识别符

片段标识符(fragment identifier)指的是,URL的#号后面的部分,比如http://example.com/x.html#fragment#fragment。如果只是改变片段标识符,页面不会重新刷新。

父窗口可以把信息,写入子窗口的片段标识符。

var src = originURL + '#' + data; document.getElementById('myIFrame').src = src;

子窗口通过监听hashchange事件得到通知。

window.onhashchange = checkMessage; function checkMessage() { var message = window.location.hash; // ... }

同样的,子窗口也可以改变父窗口的片段标识符。

parent.location.href= target + "#" + hash;

3.2 window.name

浏览器窗口有window.name属性。这个属性的最大特点是,无论是否同源,只要在同一个窗口里,前一个网页设置了这个属性,后一个网页可以读取它。

父窗口先打开一个子窗口,载入一个不同源的网页,该网页将信息写入window.name属性。

window.name = data;

最低0.47元/天 解锁文章
2401_84092903
关注
  • 22
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器同源策略及其规避方法,web后端开发框架
2301_82243539的博客
04-06 569
分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载3810)][外链图片转存中…(img-OON2sKAu-1712374793811)]既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化![外链图片转存中…(img-ZaOrOmKP-1712374793811)]由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
浏览器同源政策及其规避方法
qq_34025178的博客
04-27 175
阮一峰的网络日志 » 首页 » 档案上一篇:谷歌的绩效管理    下一篇:跨域资源共享 CORS分类: JavaScript浏览器同源政策及其规避方法作者: 阮一峰日期: 2016年4月 8日浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。本文详细介绍"同源政策"的各个方面,以及如何规避它。一、概述1.1 含义1995年,同源政策由 ...
浏览器(javaScript)同源策略及其规避方法
weixin_46663768的博客
05-01 307
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同...
同源策略及其规避方法
Jancy2265的博客
08-31 279
同源策略及其规避方法 同源 所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同 同源策略 背景:1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 概念 最初的概念 A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源" 后续发展的概念:https://cifer76.github.io/posts/same-origin-policy/ 允许在浏览器中从 originB 内部请求 originA 的远程
浏览器同源策略的行为限制以及规避方法
WEB_YH的博客
05-10 5206
本文参考自阮一峰老师的文章链接在此http://www.ruanyifeng.com/blog/2016/04/cors.html 一、简单介绍同源策略,即三个相同: 协议相同,域名相同,端口相同。 二、同源策略主要带来三个方面的行为限制: 1、cookie,localstorage和IndexDB无法读取 2、DOM无法获取 3、Ajax请求不能发送 三、规避方法 1、cookie
浏览器同源策略及跨域问题详解
weixin_42558057的博客
03-17 151
跨域资源共享 CORS 详解 http://www.ruanyifeng.com/blog/2016/04/cors.html 浏览器同源政策及其规避方法 http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
第八节 浏览器同源策略介绍-01
09-15
第八节 浏览器同源策略介绍-01
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript中同源策略的概念与相关应用注意事项,需要的朋友可以参考下
chrome调试手机网页
silent_F的博客
05-30 449
浏览器,就会有图中框框中的内容,浏览器页面越多,框框里的内容就越多,而且每一条下面都会显示你打开的网址,选择自己要调试的网页就行。3、刷新浏览器,就会出现下面界面,如果没有出现,等一会儿再刷新,只要手机成功连上电脑,就一定会出现下面界面。,说明手机没有连接成功,只要连接成功,哪怕手机没有打开浏览器,也会出现对应手机的型号。3、需要科学上网,可以自行下载梯子,也可以修改本地。进入手机设置,找到开发者模式,然后启用USB调试。2、选择扩展程序,选择管理扩展程序。2、手机通过数据线连上电脑,选择。
JS脚本打包成一个 Chrome 扩展(CRX 插件)
Xiao_Ya__的博客
05-30 599
JS脚本打包成一个 Chrome 扩展(CRX 插件)
Vite项目构建chrome extension,实现多入口
专注前端技术,包括Web端、移动端、小程序、APP
05-31 594
本项目使用Vite5 + Vue3进行构建。要使用vite工程构建浏览器插件,无非就是要实现popup页面和options页面。这就需要在项目中用到多入口打包(生成多个html文件)。
一、实现一个简单的 Google Chrome 扩展程序
Vinca@的博客
05-27 1102
教你写一个 chrome://extensions/ 扩展程序插件
Chromebook Plus中添加了Gemini?
holdcloud的博客
05-29 478
就在5月29日,谷歌宣布了一项重大更新,将其Gemini人工智能技术集成到Chromebook Plus笔记本电脑中。这项技术此前已应用于谷歌的其他设备。华硕和惠普已经在市场上销售的Chromebook Plus机型,以及宏碁即将发布的新款产品,都将受益于这一更新。
google的chromedriver最新版下载地址
WANGkaiyuan666的博客
05-31 286
复制对应的地址跳转进去即可下载,下载前先看下自己google浏览器版本,找到对应的版本号去下载,把解压缩的exe放到google浏览器目录下。
chrome 浏览器历史版本下载
南国以南i的博客
05-29 373
chrome浏览器的各个历史版本下载
Chrome Plugin静态页面触发CSP如何解决CSP
最新发布
weixin_42429220的博客
06-03 294
内容安全策略是一种计算机安全标准,旨在防御跨站脚本、点击劫持等代码注入攻击,阻止恶意内容在受信网页环境中执行。Manifest V3 对于内容安全策略有一些默认的设置,如禁止外部代码的执行,这主要是为了增强安全性。如果需要调整默认策略以允许执行更多类型的资源,可以通过修改 manifest.json 中的 content_security_policy 字段实现。
浏览器同源策略机制
07-27
浏览器同源策略(Same Origin Policy)是一种安全机制,用于限制一个网页文档或脚本如何与其他源(域、协议、端口)的资源进行交互。同源策略的目的是防止恶意网站通过跨域请求获取用户的敏感信息或执行恶意操作。 同源策略的基本规则是,两个URL的协议、域名和端口必须完全相同,才被认为是同源。如果两个URL不满足同源条件,浏览器会在JavaScript等环境下禁止跨域操作,比如读取非同源页面的内容、发送非同源请求等。 同源策略对以下几种情况进行限制: 1. Cookie、LocalStorage和IndexDB等存储的读取:非同源页面无法读取当前页面的存储数据。 2. DOM操作限制:非同源页面无法修改或获取当前页面的DOM结构。 3. XMLHttpRequest和Fetch等跨域请求限制:非同源页面无法通过这些方式向其他源发送请求。 为了实现跨域资源共享(CORS),浏览器提供了一些机制来放宽同源策略,比如在服务器端设置响应头中的`Access-Control-Allow-Origin`字段来明确允许某个指定源的请求。 需要注意的是,不同浏览器同源策略的实现可能略有差异,同时还存在一些绕过同源策略的技术,因此在开发时需要注意安全性和防范跨站脚本攻击(XSS)等安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值