浏览器的同源政策及其规避方法

最新推荐文章于 2022-10-23 22:56:02 发布
最新推荐文章于 2022-10-23 22:56:02 发布
阅读量202 收藏
点赞数
分类专栏: 跨域 文章标签: html javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AnitaSun/article/details/121647201
版权

含义

  • 同源:
    协议相同
    域名相同
    端口相同

限制范围

  • Cookie、LocalStorage 和 IndexDB 无法读取
  • DOM 无法获得
  • AJAX 请求不能发送

document.domain

  • 一级域名相同,二级域名不同
Cookie
  • 只有同源的网页才可以共享
  • 两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置 document.domain 共享 Cookie
  • 适用于 Cookie 和 iframe

  • A 网页:http://w1.example.com/a.html
    B 网页:http://w2.example.com/b.html
    设置相同的 document.domain
    在这里插入图片描述
    A 网页设置一个 Cookie
    在这里插入图片描述
    B 网页读取这个 Cookie
    在这里插入图片描述
iframe
  • 如果两个网页不同源,就无法拿到对方的 DOM
  • iframe 窗口和 window.open 方法打开的窗口,无法与父窗口通信
  • 如果两个窗口一级域名相同,只是二级域名不同,可以通过 document.domain 属性,就可以规避同源政策,拿到DOM
  • 用 document.domain + iframe实现跨域

完全不同源

片段标识符
  • 父窗口可以把信息,写入子窗口的片段标识符
    var src = originURL + '#' + data;
document.getElementById('myIFrame').src = src;
  • 子窗口通过监听 hashchange 事件得到通知
    window.onhashchange = checkMessage;

function checkMessage() {
  var message = window.location.hash;
  // ...
}
  • 子窗口也可以改变父窗口的片段标识符
    parent.location.href= target + "#" + hash;
window.name
window.postMessage

使用 window.postMessage 解决窗口间通信

webSocket 解决跨域问题

Ajax跨域

Anita-Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
postMessage——不同源的网页直接通过localStorage/sessionStorage/Cookies——技能提升
yehaocheng520的博客
12-22 2907
postMessage——不同源的网页直接通过localStorage/sessionStorage/Cookies——技能提升
浏览器同源政策及其规避方法
weixin_30693683的博客
06-20 99
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指...
跨域问题的产生原因和相应的解决方式(与Cookie相关)
jmlqqs的博客
09-29 565
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同 举例来说,http://www.example.com/dir/page
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iframe窗口高度自适应的实现方法
12-02
domainA 中有一个页面index.html,通过iframe嵌套了domainB中的一个页面other.html由于other.html页面在iframe中显示,而且其页面内容会动态的增加或减少,现在需要去掉iframe的滚动条由于javascript同源策略的限制...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
【跨域请求相关】浏览器同源政策及其规避方法
wssjdysf1的专栏
09-12 230
http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
浏览器同源策略及其规避方法
AnitaSun的博客
02-27 112
浏览器同源政策及其规避方法
浏览器同源策略以及跨域的解决方案
m0_62371650的博客
10-23 947
浏览器同源策略以及跨域的解决方案
JavaScript框架篇——SessionStorage和LocalStorage
weixin_45273807的博客
08-13 245
1.什么是SessionStorage和LocalStorage 和Cookie一样, SessionStorage和LocalStorage也是用于存储网页中的数据的 2.Cookie、 SessionStorage、LocalStorage区别 2.1生命周期(同一浏览器下) Cookie生命周期: 默认是关闭浏览器后失效, 但是也可以设置过期时间 SessionStorage...
浏览器同源策略机制
07-27
浏览器同源策略(Same Origin Policy)是一种安全机制,用于限制一个网页文档或脚本如何与其他源(域、协议、端口)的资源进行交互。同源策略的目的是防止恶意网站通过跨域请求获取用户的敏感信息或执行恶意操作。 同源策略的基本规则是,两个URL的协议、域名和端口必须完全相同,才被认为是同源。如果两个URL不满足同源条件,浏览器会在JavaScript等环境下禁止跨域操作,比如读取非同源页面的内容、发送非同源请求等。 同源策略对以下几种情况进行限制: 1. Cookie、LocalStorage和IndexDB等存储的读取:非同源页面无法读取当前页面的存储数据。 2. DOM操作限制:非同源页面无法修改或获取当前页面的DOM结构。 3. XMLHttpRequest和Fetch等跨域请求限制:非同源页面无法通过这些方式向其他源发送请求。 为了实现跨域资源共享(CORS),浏览器提供了一些机制来放宽同源策略,比如在服务器端设置响应头中的`Access-Control-Allow-Origin`字段来明确允许某个指定源的请求。 需要注意的是,不同浏览器同源策略的实现可能略有差异,同时还存在一些绕过同源策略的技术,因此在开发时需要注意安全性和防范跨站脚本攻击(XSS)等安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值