浏览器的同源策略

最新推荐文章于 2024-08-16 18:44:03 发布
最新推荐文章于 2024-08-16 18:44:03 发布
阅读量282 收藏
点赞数
分类专栏: 前端后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DcTbnk/article/details/105767861
版权

一.定义

同源策略,只限制 ajax请求,不限制 超链接和form表单等跳转

浏览器对于ajax请求,有限制
如果 ajax请求的 url地址 与当前 地址
    请求协议不同
    url地址源不同   要求在同一个文件夹下,路径是相同的
    端口号不同
浏览器都视为 跨域请求 只能发送请求,但是不能获取响应体内容

如果不在同一个文件夹下,也会被视为不是同源文件
ajax请求会进行判断,判断是否有相同的文件夹结构
只要有相同的文件夹结构,就可以访问,获取请求内容

总结,同源策略,cookie和ajax请求的区别

1,为什么有同源策略
    为了防止数据的盗用和黑客的攻击
    浏览器默认只允许,同源的文件,访问数据,外部文件,不允许访问数据
    只能浏览页面,不能访问数据,获取响应体

2,cookie的同源策略
    创建的cookie只能是同一个文件夹中的文件或者子级文件
    共同使用这个设定的cookie
    父级文件夹中的文件,不会共享这个cookie
    实际项目中的cookie一般设定在顶级文件夹 / 根目录 中

3,ajax的同源的同源策略
    相对路径:
        只要可以通过相对路径访问的程序,一定有一个相同的文件夹,只要也在相同的盘符下
        浏览器允许ajax访问获取响应体
    绝对路径: url地址
        要求 请求协议   路径地址  端口号 都必须相同
        才会 认为是同源文件,才可以正常访问并且获取响应体

实际项目中,有大量的访问,是请求其他数据库中的文件内容
就要做跨域访问
跨域访问的方式有3种
    jsonp
    cors       
    proxy服务器代理  和cors没有本质上的区别

二.demo1.html

<body>
    <button>点击访问</button>
    <script src="../utils.js"></script>
    <script>
        // 当前这个文件在 demo 文件夹中
        // 要请求的 PHP文件 ajax1.php文件 在 demo文件夹外
        // 理论上应该是 非同源文件

        // 我们在请求时,可以请求成功过的
        // 因为是通过 ../ajax1.php 相对路径请求
        // 浏览器会认为两个文件在 同一个 week7_day05 文件夹中
        // 也会认为是同源文件,是可以发送请求的
        // 实际项目中,推荐写相对路径
        // 只要可以通过相对路径找到的文件,一定都一个相同的文件夹,只要也是有一个相同的盘符
        // 就会被认为是同源文件,就可以正常的发送ajax请求,并且获取响应体


        // 不同文件夹的文件,对 cookie 有影响
        // cookie 一定是同源的文件,才能共享cookie

        // 设定一个cookie
        mySetCookie('msg' , '我是dome1中的cookie' , 7*24*60*60);


        const oBtn = document.querySelector('button');

        oBtn.addEventListener('click', () => {

            const xhr = new XMLHttpRequest();

            xhr.open('get', '../ajax1.php');

            xhr.send();

            xhr.onreadystatechange = function () {
                if (xhr.readyState == 4 && /^2\d{2}$/.test(xhr.status)) {
                    console.log('请求成功');
                }
            }

            console.log(xhr);
        })

    </script>

二.demo2.html

<body>
    <h1>在同一个文件夹下的文件,可以有cookie,其他文件夹中的文件,不能有cookie</h1>
</body>

二.demo3.html

<body>
    <h1>同源策略演示</h1>
    <button>点击访问</button>
    <script src="./utils.js"></script>
    <script>
        // 通过ajax方式来请求访问PHP程序

        const oBtn = document.querySelector('button');

        oBtn.addEventListener('click', () => {

         
            const xhr = new XMLHttpRequest();
            // 相对路径的访问
            // xhr.open('get', './ajax1.php' );

            // 绝对路径的访问  URL地址
            // xhr.open('get', 'http://127.0.0.1/nz2002/week7_day05/ajax1.php' );

            // 绝对路径,从127.0.0.1改为localhost
            xhr.open('get', 'http://localhost/nz2002/week7_day05/ajax1.php' );

            xhr.send();

            xhr.onreadystatechange = function () {
                if (xhr.readyState == 4 && /^2\d{2}$/.test(xhr.status)) {
                    console.log('请求成功');
                }
            }

            console.log(xhr);
        })



        // 总结:
        // 1,ajax的同步设定
        //    open()第三个参数是false
        // 2,ajax的同步异步的区别
        //    监听判断要写在send()之前
        //    send()要写在所有程序最后
        // 3,实际项目中,绝对不会用同步形式


    </script>

二.demo4.html

<body>
    <h1>在父级空间下的html文件,建立cookie,子级文件夹中可以使用</h1>

    <script src="./utils.js"></script>
    <script>
        mySetCookie('father' , '我是父级文件夹中cookie' , 7*24*60*60);

    </script>
</body>

三.ajax1.php

<?php

echo '我是随便输出的内容,我就冒充响应体';

四.utils.js

function mySetCookie(key,value,time){
    const nowTime=new Date();
    let t=nowTime.getTime()-(8*60*60*1000)+(time*1000);
    nowTime.setTime(t);
    document.cookie=`${key}=${value};expires=${time == undefined ? '' : nowTime}`;
}

function myGetCookie(cookieStr){
    const arr=cookieStr.split('; ');
    const obj={};
    arr.forEach((val)=>{
        const nowArr=val.split('=');
        obj[nowArr[0]]=nowArr[1];
    });
    return obj;
}

function getAjaxSend(urlStr,cb){
    const xhr=new XMLHttpRequest();
    xhr.open('get',urlStr);
    xhr.send();
    xhr.onload=function(){
        cb(xhr.response);
    }
}

function postAjaxSend(url,func,dataStr){
    const xhr=new XMLHttpRequest();
    xhr.open('post',url);
    xhr.setRequestHeader('content-type','application/x-www-form-urlencoded');
    xhr.send(dataStr);
    xhr.onload=function(){
        func(xhr.response);
    }
}
咩有猫腻.
关注
专栏目录
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8314
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才被执行。
浏览器同源策略
JUSTIN的博客
03-22 402
前言 同源政策:起源被定义为URI方案,主机名和端口号的组合。此策略可防止一个页面上的恶意脚本通过该页面的文档对象模型访问另一个网页上的敏感数据。 由于服务器基于HTTP cookie信息来揭示敏感信息或采取改变状态的行为,因此这种机制对于广泛依赖于HTTP cookie 的现代Web应用程序来维护经过验证的用户话具有特殊意义。(维基百科) (一)慨念 所谓的同源指的是“三个相同” ...
前端面试题-什么是浏览器同源策略
最新发布
m0_62300955的博客
08-16 435
举个例子,如果没有同源策略,恶意网站 malicious-site.com 可能在其页面中嵌入脚本,尝试读取用户正在访问的银行网站 bank-site.com 的页面内容,获取用户的账户信息、交易记录等敏感数据,这将给用户带来极大的安全风险。一些 CDN 资源不受同源策略限制,是因为同源策略主要是浏览器的一种安全机制,用于限制不同源的文档或脚本之间的交互操作,但对于某些特定类型的资源访问,浏览器有一些例外情况。一般情况下,<img> 元素的 src 属性指向的资源是可以进行跨域访问的。
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
详解基于浏览器同源策略的几种跨域方式
09-22
浏览器同源策略是Web开发中的一项重要安全机制,它防止了不同源之间的文档或脚本相互干扰,以保护用户隐私和安全性。同源策略规定,只有当两个网页的协议、域名和端口号都相同时,这两个网页才属于同一个源,否则...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
在《Collabtive系统浏览器同源策略探索实验》中,你将有机亲自运行源代码,体验同源策略如何影响跨域通信。源码的分析和实践将帮助你更好地掌握这一概念,同时,设计说明书提供理论背景和具体步骤,指导你如何...
理解浏览器同源策略:原理、IE特性和跨域通信
在本节中,我们将深入探讨浏览器同源策略,这是Web开发中的一项关键安全概念。同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止跨域资源共享(Cross-Origin Resource Sharing, CORS)时的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值