Cookie同源策略

于 2024-01-19 22:48:28 发布
阅读量676 收藏 9
点赞数 8
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nanki_/article/details/135708426
版权

同源策略(Same-Origin
Policy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。

关于Cookie的同源策略主要涉及以下四个方面:
域名匹配规则:

1.Cookie的域名必须匹配:
  • Cookie在发送请求时,只会携带与请求的域名相匹配的Cookie。例如,如果Cookie是在example.com上设置的,它不会被发送到subdomain.example.com或anotherdomain.com。
    域名匹配是基于后缀的: 例如,如果Cookie的域名是.example.com,它将匹配subdomain.example.com。
    协议匹配规则:
2.Cookie的协议必须匹配:
  • Cookie的安全属性(Secure)要求只有在使用HTTPS协议时才发送。如果一个Cookie是在HTTPS下设置的,它不会被发送到HTTP的请求中。
    端口匹配规则:
3.Cookie的端口必须匹配:
  • Cookie是与域名和协议一起绑定的,而不是与端口相关的。如果一个Cookie是在example.com上设置的,它将匹配example.com:80和example.com:443,但不会匹配example.com:8080。
4.JavaScript访问限制:
  • JavaScript只能访问同源Cookie: 使用JavaScript的document.cookie API只能访问与当前网页具有相同源的Cookie。这意味着即使两个页面的域名相同,如果它们的路径或协议不同,JavaScript也无法访问对方的Cookie。

同源策略的存在旨在防止横向越权攻击,确保来自不同源的网站不能轻易访问对方的敏感信息,包括Cookie。虽然这增强了浏览器的安全性,但在某些情况下,开发人员可能需要考虑跨域资源共享(CORS)等机制来允许有限度的跨域交互。

酱学编程
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
同源策略介绍
weixin_44174581的博客
08-11 1763
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
浏览器的同源策略:简单Cookie测试
最新发布
qyqzIsJavatar的博客
12-10 102
这份文档是一个详细的分析报告,专注于Web开发中cookie的行为。为理解和测试web应用中cookie的行为提供了全面的指导,特别是在不同域和子域之间的交互。这些测试对于验证web应用在处理cookie时的安全性、可访问性和持久性至关重要。
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
理解同源策略和解决跨域问题
yang1234567898的博客
04-06 2788
1、什么是同源策略 简单来说,就是域名、协议、端口相同,即为同源。同源策略是一种浏览器安全策略,规定JavaScript能读取哪些web网站的内容,从而保护网站的数据不被其他网站读取。保护用户在使用浏览器访问网站时,B网站不能读取用户存储在A网站的数据。 2、同源策略的目的 举个简单的例子: 当我们使用浏览器去访问A网站时,如果是第一次登录需要输入账号密码,为了方便下次访问,而不需要输入账号密码,服务端会给我们返回一个凭证——cookie,当前浏览器就会将这个凭证存起来,当我们下次再用这个浏览器
web前端的同源策略是什么?
āáǎà
05-08 820
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 352
三、跨域的处理方式(3种)
JavaScript同源策略和跨域访问实例详解
10-18
同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,JavaScript才能访问和操作该页面的DOM、Cookie、localStorage等敏感信息。这一策略有效地防止了恶意...
cookie访问限制ip
09-16
js控制 cookie访问限制ip,有些兼容性问题,需要自行修改,
关于Iframe如何跨域访问Cookie和Session的解决方法
10-27
在Web浏览器的安全策略中,同源策略(Same-origin policy)禁止了一个源(协议+域名+端口)的文档或脚本直接获取另一个源的资源,包括Cookie和Session。然而,在实际应用中,如需要在一个系统中集成多个子系统,这种...
javacookie的操作.doc
01-15
在实际应用中,可能还需要处理如Cookie的安全性(使用`setSecure(true)`使其仅在HTTPS连接中传输)、最大数量限制(每个域名下的Cookie数量有限制)以及同源策略等问题。另外,考虑到隐私法规,处理用户数据时应谨慎...
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3273
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 990
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2632
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
同源策略cookie中的path
工作学习笔记
06-27 811
【代码】浏览器同源策略
同源限制及解决方案
weixin_40252368的博客
12-08 1318
这里写自定义目录标题什么是同源?新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是同源? 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇
前端知识库-前端安全系列二(同源策略
Candour_0的博客
02-16 179
前端知识库-前端安全系列二(同源策略
cookie 同源
SY199505的博客
09-06 1146
同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。 同源一定是同协议,同域名,同端口,只要其中一个条件不满足就是不同源的。 资源不仅 包括web页面,也包括cookie。http消息头,dom树等 不同源的话是不能读对方的cookie的。 cookie的重要字段[name][value][domain][path][expires][http
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6418
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机中,尤其是在网络应用中,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
cookie在非同源下不能传送吗?
liouswll的博客
07-30 1312
1.服务器端使用CROS协议解决跨域访问数据问题时,需要设置响应消息头Access-Control-Allow-Credentials值为“true”。同时,还需要设置响应消息头Access-Control-Allow-Origin值为指定单一域名(注:不能为通配符“*”)。 2.客户端需要设置Ajax请求属性withCredentials=true,让Ajax请求都带上Cookie。...
JavaScript的同源策略
07-13
JavaScript的同源策略是一种浏览器安全机制,用于限制跨域请求。同源指的是协议、域名和端口号都相同,只有在同源的情况下,JavaScript才能访问其他页面的内容。 同源策略的目的是保护用户的隐私和安全,防止恶意网站通过跨域请求获取用户的敏感信息。如果一个网页试图通过JavaScript访问与自己不同源的资源,浏览器会阻止这种行为,以防止潜在的安全风险。 同源策略的限制包括: 1. Cookie、LocalStorage和IndexDB等存储在浏览器中的数据无法被跨域页面访问。 2. XMLHttpRequest和Fetch等网络请求只能发送到同源的URL。 3. DOM无法跨域操作,比如无法通过JavaScript获取跨域页面的DOM元素。 4. JavaScript无法访问跨域页面的JavaScript对象和执行跨域页面的脚本。 要实现跨域请求,可以使用一些方法如JSONP、CORS(跨源资源共享)等。这些方法可以通过服务器端的设置或特殊的标记来绕过同源策略,实现跨域通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

酱学编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值