前端知识库-前端安全系列二(同源策略)

最新推荐文章于 2024-05-21 18:25:04 发布
最新推荐文章于 2024-05-21 18:25:04 发布
阅读量179 收藏
点赞数
文章标签: 前端 安全 javascript java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candour_0/article/details/129049776
版权
本文深入探讨了浏览器的同源策略(SOP),解释了其限制和目的,包括对存储、请求和DOM操作的约束。虽然同源策略有助于防止恶意攻击,但依然存在CSRF攻击的风险。文章还介绍了网络安全学习路线,帮助读者提升安全意识和技能。
摘要由CSDN通过智能技术生成

前言

在我们日常开发中在与后台联调的时候是不是会经常遇到CORS错误,作为一名前端开发大家应该都知道这个事浏览器同源策略导致的,如何解决这个问题相信大家都有自己团队的方法。如有不了解的可以看下我之前总结过文章跨域解决方案,本文主要来分析下跨域的原因,以及跨域涉及到的API。

SOP同源策略(源:协议 域名 端口)

在MDN中如此介绍同源策略:同源策略是一个重要的安全策略(也可以理解为一种规定),它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

  • 关键词:限制 阻隔 恶意 减少
  • 目的:为了提供一个安全页面操作环境,保护用户信息不被窃取。
  • 阻止内容:大概可分为三类存储类(cookie访问 localstorage/sessionstorage访问) DOM类(iframe对DOM的操作 ) ajax类(ajax的请求)

下面介绍下同源策略限制的一些操作:

存储相关

  • cookie:cookie我们应该都很熟悉了,用来存储一些验证/基础信息等,如果没有同源策略的限制那网站的cookie就无法保证安全性了
//在客户端cookie是通过document.c
最低0.47元/天 解锁文章
网络安全大菠萝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端同源策略和跨域问题解决方法
Arui_0的博客
07-20 463
原文: https://juejin.im/post/5f1146a8e51d453dec11861f 跨域,指的是从一个域名去请求另外一个域名的资源。即跨域名请求!跨域时,浏览器不能执行其他域名网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。 跨域的严格一点来说就是只要协议,域名,端口有任何一个的不同,就被当作是跨域。 加载图片 CSS JS 可无视同源策略 <img src="跨域的图片地址" /> <link href="跨域的css地址" /> <scr
前端开源库-node-rsa
08-30
4. **前端开发中的加密**:在前端,由于浏览器的同源策略安全限制,直接处理敏感数据可能会有风险。使用像node-rsa这样的库,可以在客户端进行轻量级加密,增加数据的安全性,再通过HTTPS等安全协议发送到服务器。...
前端网络之同源策略
爱前端的程序媛的博客
03-14 678
同源策略及其解决方案
前端基础入门三大核心之HTML篇 —— 同源策略的深度解析与安全实践
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 822
同源策略(Same-origin policy)是一种约定,由Netscape公司于1995年引入,旨在防止不同源的网页之间相互干扰和恶意操作。简而言之,该策略规定了浏览器允许脚本访问的资源范围,仅限于与当前网页同源的资源。所谓“同源”,指的是协议、域名和端口号完全相同。同源策略作为Web安全的基石,其重要性不言而喻。然而,在日益复杂的Web应用环境中,灵活而安全地处理跨域通信成为了前端开发者必备的技能。
web前端同源策略是什么?
āáǎà
05-08 826
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
前端同源策略和跨域详解
mkbird的博客
09-24 1394
webcoket作为一种常用于实时聊天的协议,本身就不存在跨域问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端和服务器中间使用一个代理服务器,代理服务器和客户端同源,代理服务器和服务器进行数据交互,这样就实现了跨域。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
前端必备技能之同源策略
chuxuan3566的博客
10-27 201
同源策略详解 同源策略web应用的安全模型中是一个重要概念.在这个策略下,web浏览器允许第一个页面的脚本访问第个页面里数据,但是也只有在这两个页面有相同的源时.源是由url,主机名,端口号组合而成的.这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的...
前端开源库-contribute
08-29
1. **CORS限制**:由于浏览器的同源策略前端直接发送数据到谷歌分析可能会受到跨域限制。为解决这个问题,你可以设置一个服务器端代理,将前端发送的数据转发到Google Analytics的服务器。 2. **隐私保护**:为了...
前端开源库-dns-js
08-29
- `dns-js` 在浏览器环境中的使用可能受限于同源策略,需要使用CORS或其他技术来解决跨域问题。 - 对于某些高级功能,如PTR(反向查找)查询,`dns-js` 可能不提供支持,因为这通常需要服务器端配合。 总之,`dns-...
前端开源库-system-proxy.zip
10-05
前端,这主要用来解决由于同源策略限制导致的跨域问题。 2. **HTTP代理**:代理库可能支持HTTP(s)代理配置,允许开发者设置自定义的代理服务器地址,通过该服务器转发HTTP请求,从而绕过浏览器的同源策略。 3. *...
前端开源库-post-json.zip
10-05
6. **跨域资源共享(CORS)**:由于浏览器的安全策略,前端直接发起AJAX请求可能受到同源策略的限制。"post-json"库可能提供了配置CORS头的功能,以允许跨域请求。 7. **错误处理**:在处理网络请求时,错误处理是...
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
笔记 前端需要了解的同源策略
ygx_work的博客
05-21 182
同源策略简单的说就是一段脚本只能读取来自于同一来源的窗口和文档的属性,这里的同一来源指的是主机名、协议和端口号的组合。其实主要是用来防止 CSRF 攻击的。简单点说,CSRF 攻击是利用用户的登录态发起恶意请求。也就是说,没有同源策略的情况下,A 网站可以被任意其他来源的 Ajax 访问到内容。如果你当前 A 网站还存在登录态,那么对方就可以通过 Ajax 获得你的任何信息。 ...
【网络基础】初级前端需要掌握知识,什么是同源策略与跨域,如何解决跨域问题
庞囧的博客
04-24 430
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。跨域请求其实是非常常见的,比如一些网站下面有很多子域,同是一家人还不能访问就很离谱,于是出现了很多解决跨域问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
同源策略】基础内容
JT61100的博客
04-17 834
文章目录同源策略url(资源定位器)的构成域名解析1、域名是倒着解析的2、顶级域名3、端口4、当你在浏览器里输入一个url发生了什么TCP/UDP(传输层协议)面向连接的 TCP面向非连接的 UDP 协议三次握手四次挥手应用层协议:http https等http (请求报文,响应报文) 通过报文进行沟通常见的 http 状态码请求方方法 `GET` `POST` 的区别浏览器缓存机制(http) 同源策略 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。 所谓同源是指,域名,协
同源策略前端跨域
one-way or another
08-02 323
文章目录由同源策略前端跨域同源策略的限制iframe限制Ajax限制Script限制跨域访问JSONPpostMessageCORS 跨域访问document.domainInternet Explorer同源策略绕过`window.name`location.hashflash URLLoderWebSocket 由同源策略前端跨域 同源策略 (Same-Origin Policy) 最早...
JavaScript(Ajax)和Cookie同源策略
云计算?
01-20 120
一个URL由四部分组成,拿http://blog.csdn.net/yanical来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价于http://blog.csdn.net:80/yanical) 协议:http 主机:blog.csdn.net 端口:80 路径:/yanical 所谓的同源就是要求这个URL的协议,主机,端口三...
2023web前端常考面试题及答案(小白版)
12-26
2. **跨域与同源策略**:同源策略是浏览器的安全机制,限制了不同源间的资源交互。开发者需要了解如何处理跨域问题,如JSONP(利用script标签的不受限制特性)、CORS(服务器端设置允许请求头)、以及代理服务器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值