同源策略及跨站 学习笔记

最新推荐文章于 2022-03-06 11:21:45 发布
最新推荐文章于 2022-03-06 11:21:45 发布
阅读量194 收藏
点赞数
分类专栏: javaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MoveLikeRabbit/article/details/81211833
版权

同源策略

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。

  • 协议相同
  • 域名相同
  • 端口相同

“同源政策”是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了
浏览器同时还规定,提交表单不受同源政策的限制。

限制范围

随着互联网的发展,”同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制。

  • Cookie、LocalStorage 和 IndexDB 无法读取。
  • DOM 无法获得。
  • AJAX 请求不能发送。

Cookie 是服务器写入浏览器的一小段信息,只有同源的网页才能共享。但是,两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。

举例来说,A网页是http://w1.example.com/a.html,B网页是http://w2.example.com/b.html,那么只要设置相同的document.domain,两个网页就可以共享Cookie。
注意,这种方法只适用于 Cookie 和 iframe 窗口,LocalStorage 和 IndexDB 无法通过这种方法,规避同源政策,而要使用下文介绍的PostMessage API。

jsonp

它的基本思想是,网页通过添加一个


function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}

window.onload = function () {
  addScriptTag('http://example.com/ip?callback=foo');
}

function foo(data) {
  console.log('Your public IP address is: ' + data.ip);
};

上面代码通过动态添加

跨域方案

2. jsonp
3. html标签跨域 img iframe script(jsonp) link(background)
4. location.hash + iframe
5. window.name + iframe跨域
6. postMessage跨域

参考资料

MoveLikeRabbit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全同源策略以及跨站脚本,跨站请求伪造
hello world
11-30 1062
http是无状态协议 所以服务器为了辨识访问者是否已经访问过 会给浏览器一个cookie 浏览器再次访问时候 将cookie传过去 服务器就可以知道 该访问者已经登陆过 不需要再次登陆       但是早起 服务器是被动 也就是 当浏览器发起请求 才会有回应,如果说对于一些特殊情况,比如需要实时更新的股票信息,不免需要 浏览器每间隔一段时间重复去询问 查询股票是否已经变化 浏览器 股...
同源策略
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为域的问题访问不到。大致看了下腾讯云关于设置域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
跨站攻击的解决方法
notOnlyRush的博客
11-10 447
转至元数据起始 方法一: 对输入参数进行校验, 方法二: 对输入参数输出在页面前就使用以下标签进行转义特殊字符: ATG 标签库: ? dsp:valueof param="boldCode" valueishtml="true"/> JSTL 标签库: ?
讲清楚同源、源、同跨站
YopenLang的博客
01-20 4313
鹏哥儿最近重新回顾了一下XSS(Cross Site Script)和CSRF(Cross Site Request Forgery),又联系到cookie的同源策略(Same-origin policy),发现自己对**源**(origin)和****(site)有些混淆,所以找了篇优秀的文章:*Understanding "same-site" and "same-origin"*,来对两者加以区分。............
同源策略学习总结
马赛克的博客
04-15 205
一:前言 JavaScript可以操作html,发出请求,也可以用iframe加载别的网。 为了防止当前登陆的网去访问另一个已登录网的信息,控制这个请求成功与否就叫同源策略 同源策略明确规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源 如何判断是同源:协议相同+域名相同+端口相同 注:www.example.com和example.com也不是同一个域名,因为在...
揭开AJAX神秘的面纱(AJAX个人学习笔记)第1/5页
10-29
5. **域问题**:AJAX请求受到同源策略的限制,了解如何使用JSONP或CORS解决域请求。 6. **性能优化**:理解如何减少不必要的服务器请求,缓存数据,以及使用分页和延迟加载技术来提高页面性能。 7. **安全性...
ajax学习笔记代码
03-19
3. **域请求**:了解CORS(源资源共享)和JSONP,解决Ajax的同源策略限制。 4. **异步加载与进度条**:实现文件上传时的进度条功能,展示Ajax请求的进度。 通过以上四天的学习,你将能够熟练掌握Ajax的基本...
note:前端学习笔记——https
03-08
需要注意的是,由于同源策略的限制,JavaScript通常只能访问同源(协议、域名和端口相同)的HTTPS资源,但可以通过设置CORS(源资源共享)来放宽这一限制。 在实际项目中,配置HTTPS不仅涉及服务器端的设置,也...
Ajax学习笔记.zip
09-19
7. **域问题**:默认情况下,JavaScript受到同源策略限制,不能访问不同源的资源。为了实现Ajax域,可以使用JSONP(JSON with Padding)或者CORS(Cross-Origin Resource Sharing)机制。 8. **兼容性**:虽然...
Ajax 学习笔记,超详细的噢!不看后悔
05-29
在这份超详细的Ajax学习笔记中,我们将深入探讨以下几个关键知识点: 1. **基础概念**:Ajax的核心是JavaScript对象XMLHttpRequest,它使得前端和后端能够进行异步通信。异步意味着用户在等待服务器响应时可以执行...
同源策略域请求
weixin_34268310的博客
07-04 77
域请求 同源策略机制 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 如果Web世界没有同源策略,当你登录淘宝...
同源策略 & 内容安全策略
4ct10n
12-18 1872
为了更好的理解掌握 同源策略(Same origin policy)、内容安全策略(CSP,ContentSecurityPolicy)、跨站脚本攻击(Cross Site Scripting)、跨站请求伪造(Cross-site request forgery)、服务器端请求伪造(Server-Side Request Forgery)做了以下实验环境配置 在80端口开放Apache服务器 在80
同源、域、跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4524
系统性梳理前端同源策略域解决方案CORS、Cookie的安全策略,最后总结不同场景的域、跨站问题解决方法。
学习 同源策略,jsonp,域 随记
Bruce__taotao的博客
05-10 701
同源策略不阻止将动态脚本元素插入文档中    2.注意:jquey是不支持post方式域的。     为什么呢? 虽然采用post +动态生成iframe是可以达到post域的目的,但这样做是一个比较极端的方式,不建议采用. 也可以说get方式的域是合法的,post方式从安全角度上,被认为是不合法的, 万不得已还是不要剑走偏锋.. client端域访问的需求看来也引
跨站域的区别;前端多种域方式
weixin_50464560的博客
08-13 3292
一、域的由来(前端多种域方式)          域大家都不陌生,域是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍域的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资源,所以需要域。所以就出现了各种域的方式,如JSONP、CORS、H5的postMessage、N...
科普:xss攻击浏览器同源策略域访问
iteye_8039的博客
10-07 1138
1、同源策略   同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。 浏览器的同源策略,限制了来自不同源的”document”或脚本,对当前“document”读取或设置某些属性。 ———————————————邪恶的分割线——————————————– 对于影响到“源”的因素有:   host(域名或IP地址,如果是IP地址则看做一个根域名) 子域名 端口 协议 ———————...
详解Web域和同源,超全~(8种解决方式)
敲敲的博客
03-14 1205
域和同源 文章目录域和同源1.javascript的同源策略(Same-Origin Policy)1.1 在同源策略下,浏览器限制的请求:1.2 允许通信的情况:1.3 不允许的情况:2. 域问题的解决方案2.1 服务端CORS方法CORS——域资源共享"(Cross-origin resource sharing)以一个例子来说明:**优点**2.2 客户端解决方案2.2.1 JSON...
同源策略域请求
weixin_30329623的博客
03-05 66
一、同源策略   - 所谓同源是指,域名,协议,端口的相同,同源策略(Same origin policy)则是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。   -​同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意...
单页 hash 跳转
MoveLikeRabbit的博客
09-22 928
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>单页hash跳转</title> </head> <body> <script> window.addEventListener("DOMContentLoaded", function(){ //DOM树构建完成后执行下面的代码
JavaScript 经典笔试面试题
MoveLikeRabbit的博客
07-25 910
1. 变量提升 + function() { alert(1); alert(a); var a = function() { console.log(1); } function a() { consol...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值