同源策略:确保Web安全与引发跨域问题的平衡

于 2024-08-22 12:14:50 发布
阅读量117 收藏
点赞数 1
文章标签: web安全 安全 职场发展 职场和发展 求职招聘 单一职责原则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86516125/article/details/141424933
版权
同源政策保证了浏览器的安全性的同时,也导致了跨域的产生

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
同源:协议、域名、接口同时相同

同源政策的作用:

限制了当前域下的js脚本访问其他域下的cookie、‌localStorage和indexDB‌。‌

‌当前域下的Ajax请求无法发送到其他域‌。‌

‌当前域下的js脚本无法操作或访问其他域下的DOM‌。‌

同源政策保证了浏览器的安全性的同时,也导致了跨域的产生

js跨域是指通过js在不同的域之间进行数据传输或通信。只要协议、域名、端口有任何一个不同,都被当作是不同的域
跨域是因为后台接口文件和web前端文件不在同一个域名下,浏览器拦截了后台发送的数据

跨域的案例:

基于不同的父域之间,如:www.a.com和www.b.com

基于同一父域的子域之间,如:a.c.com和b.c.com

端口的不同,如:www.a.com:8080和www.a.com:8088

协议不同,如:http://www.a.com和https://www.a.com

跨域的解决方法

后台解决方法:
header(‘Access-Control-Allow-Origin:*‘); // header可以允许特定的域名访问请求

jsonp也支持跨域,如何获取返回的数据:
web页面调用js文件则不受跨域的影响
凡是拥有“src”这个属性的标签都拥有跨域的能力,比如script、img、iframe

框架中的解决方法:
vue-cli中axios有跨域代理设置(即使服务器没有设置header,也可以跨域)
devServer: {
    //proxy: ‘http://localhost:80‘
    proxy: ‘http://www.wenxuesucai.com:80‘
},

免费的API接口开放平台

2401_86516125
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析同源策略和跨域访问
11-22
同源策略Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
32-同源策略:为什么XMLHttpRequest不能跨域请求资源?_For_vip_user_0011
08-04
1.中可以嵌第三资源 1.中可以嵌第三资源 2.跨域资源共享和跨档消息机制 2.跨域资源共享和跨档消息机制 1. 中可以引第三资源,不过这也暴露了很多
C# WebApi CORS跨域问题解决方案
08-27
跨域问题源于浏览器的同源策略,这是一种安全机制,限制了JavaScript只能访问与当前网页同源(协议、主机和端口相同)的资源。当试图从一个源发送HTTP请求到另一个源时,浏览器会执行同源检查,若不符合要求,则阻止...
JavaScript同源策略和跨域访问实例详解
10-18
JavaScript同源策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 1140
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
网络安全: 模型的脆弱性,鲁棒性和隐私性
vivi_cin的博客
08-16 294
因此,在描述 Transformer 模型时,如果你要强调其在网络安全方面的保护能力,可以用“脆弱性、鲁棒性和隐私性”这三个特性来更准确地传达其安全方面的考量。:指保护模型或其训练数据免受信息泄露的能力。隐私性问题在联邦学习和其他分布式学习场景中特别重要,因模型参数的共享可能导致信息泄露。:指模型在某些情况下容易受到攻击或被利用的弱点。例如,模型可能对对抗性攻击或梯度泄露攻击敏感。:指模型抵御攻击和在恶劣环境下保持性能的能力。提高模型的鲁棒性是增强其抵御攻击能力的关键。
网络安全(黑客)——自学2024
2401_84466325的博客
08-21 845
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-21 949
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
网络安全之XSS基础
huizhaohaha的博客
08-19 792
是RCDATA元素(RCDATA elements),可以容纳文本和字符引用,注意不能容纳其他元素,HTML解码得到<textarea><script>alert(5)</script>
网络安全(黑客)自学
白帽子凯哥聊黑客
08-16 1695
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
08-21 828
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
Hackademic.RTB1靶场实战【超详细】
weixin_68615160的博客
08-14 563
其中发现了一个路径 http://192.168.23.143/Hackademic_RTB1/wp-content/themes/starburst/style.css。可以看到 wp-content 位置,尝试将其修改为 wordpress的默认路径wp-admin,发现后台登录页面。挨个登录,登录GeorgeMiller发现插件里面能直接修改php代码,我们添加phpinfo,发现成功解析。排除一些其他 linux 操作系统,精确版本,尝试后发现 15285.c 可利用。查看当前权限,发现需要密码。
靶机:DC-4
weixin_52953960的博客
08-13 505
在 /var/mail 下有一封信,发现 charles 用户的密码。teehee是个小众的linux编辑器,执行以下命令,成功提权。查看 /etc/passwd 文件。sudo -l 看一下,不知道密码。在 jim 用户下发现密码文件。查看具有 root 权限的命令。访问80端口,发现登录页面。切换为交互式shell。使用 hydra 破解。bp抓包,是命令执行。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
08-21 1126
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-21 795
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
【网络安全】漏洞挖掘:IDOR实例
等风来
08-19 118
点击Documents > Download后,应用程序将执行 HTTP GET 请求
近年国际重大网络安全事件深度剖析:安全之路任重道远
2301_77160226的博客
08-20 587
在当今数字化时代,网络安全已成为全球关注的焦点。随着信息技术的飞速发展,网络攻击的手段和规模也在不断升级,给个人、企业和国家带来了巨大的威胁。本文将盘点近年来国际上发生的重大网络安全事件,分析其影响和教训,以期提高人们对网络安全的重视程度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值