什么是同源策略?

已于 2023-10-28 14:47:51 修改
阅读量410 收藏
点赞数 1
分类专栏: JS 文章标签: 前端
于 2023-10-13 16:19:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TianXuab/article/details/133813285
版权

同源策略是Web开发中的重要概念,用于限制不同源之间的资源访问。它是保护用户隐私和安全的关键措施之一。在本文中,我们将深入探讨同源策略的概念、原理和作用,并提供一些处理同源策略限制的代码示例。

引言

在Web开发中,同源策略是一种浏览器安全机制,用于限制不同源之间的资源访问。同源策略要求不同源之间的脚本、样式表和其他资源只能在同一源中进行交互,而不能跨源访问。这样可以防止恶意网站通过跨域请求获取用户的敏感信息,保护用户的隐私和安全。

同源策略的原理

同源策略(Same Origin Policy)是一种浏览器安全策略,旨在保护用户信息的安全和隐私。它定义了浏览器在不同网页间进行交互时的权限限制,以防止恶意网页获取或篡改其他网页的数据。

同源策略的原理如下:

  1. 源(Origin)的定义:源由协议、域名和端口组成。如果两个 URL 的协议、域名和端口完全相同,则它们被认为是同源的;否则,它们被认为是不同源的。

  2. 同源策略的限制:同源策略限制了以下几种行为:

    • 脚本访问:不同源的脚本(例如 JavaScript)不能直接访问彼此的文档结构、变量和函数等。
    • DOM 访问:不同源的网页不能通过 DOM 方法(如 getElementById)获取其他网页的内容。
    • Cookie、LocalStorage 和 IndexDB 访问:不同源的网页不能读取或修改彼此的 Cookie、LocalStorage 或 IndexedDB 数据。
    • AJAX 请求:使用 XMLHttpRequest 或 Fetch API 发起的 AJAX 请求必须遵循同源策略。即只能向同源的 URL 发送请求,不能跨域请求。
    • 嵌入资源限制:不同源的网页不能直接嵌入对方的资源,如图片、样式表和脚本等。

  3. 跨域资源共享(CORS):为了允许跨域请求,浏览器引入了跨域资源共享机制。通过在服务器端设置响应头中的 CORS 相关字段,允许指定源的请求访问资源。

同源策略的目的是保护用户数据的安全性和隐私性,防止恶意网站获取用户敏感信息或执行未经授权的操作。它是浏览器的一项重要安全功能,有助于维护互联网的安全环境。

同源策略的作用

同源策略(Same Origin Policy)在浏览器中起到以下作用:

  1. 数据保护:同源策略可以防止恶意网页通过脚本等手段获取其他源的敏感数据,如用户的登录凭证、个人信息等。只有来自同一个源的脚本才能访问彼此的数据,保护了用户的隐私和安全。

  2. 安全限制:同源策略限制了不同源之间的交互,防止恶意网页对其他源的内容进行篡改、操控或盗用。这样可以防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全漏洞。

  3. 网络资源控制:同源策略限制了跨域的 AJAX 请求,防止恶意网页利用浏览器发起未经授权的跨域请求。这有助于防范恶意代码对其他网站的滥用和攻击。

  4. 沙箱环境:同源策略将不同源的网页隔离开来,每个网页都运行在独立的沙箱环境中。这样即使某个网页出现错误或崩溃,也不会对其他网页产生影响,提高了浏览器的稳定性和安全性。

同源策略的作用在于确保不同源之间的互动受到限制,从而保护用户的数据安全和隐私,并防止网络攻击。虽然同源策略在某些情况下会带来一定的限制和挑战,但它是现代浏览器中重要的安全特性,为用户提供了更可靠的网络环境。

处理同源策略限制的代码示例

虽然同源策略限制了不同源之间的资源访问,但在某些情况下,我们可能需要进行跨域请求或共享资源。以下是一些处理同源策略限制的常用代码示例:

JSONP

function handleResponse(data) {
  // 处理返回的数据
}

var script = document.createElement('script');
script.src = 'http://api.example.com/data?callback=handleResponse';
document.body.appendChild(script);

CORS

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://api.example.com/data', true);
xhr.withCredentials = true;
xhr.onreadystatechange = function() {
  if (xhr.readyState === 4 && xhr.status === 200) {
    var data = JSON.parse(xhr.responseText);
    // 处理返回的数据
  }
};
xhr.send();

代理服务器

var xhr = new XMLHttpRequest();
xhr.open('GET', '/proxy?url=http://api.example.com/data', true);
xhr.onreadystatechange = function() {
  if (xhr.readyState === 4 && xhr.status === 200) {
    var data = JSON.parse(xhr.responseText);
    // 处理返回的数据
  }
};
xhr.send();

结论

同源策略是Web开发中重要的安全机制,用于限制不同源之间的资源访问。它通过限制跨域请求和共享资源,保护用户的隐私和安全。虽然同源策略限制了资源的访问,但我们可以通过一些方法来处理跨域请求和共享资源的需求。了解和遵守同源策略是每个Web开发人员都应该掌握的基本知识。

天玄TX
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript中同源策略的概念与相关应用注意事项,需要的朋友可以参考下
同源策略产生介绍及解决跨域最常见的三种方式(JSONP+CORS+反向服务器代理),用详细的前后端分离代码带你搞懂跨域原理
izl040905的博客
11-13 746
跨域其实就是用AJAX进行请求数据时会遇到的访问问题,浏览器会给你报错,Fetch也是有这样的问题。这时候你可能会问,为什么在script标签中引用了别的源却不会出现这样的问题呢?这种情况相信写过JS代码的都知道吧。这是因为JS设计人员当初在设计标签的时候就允许了在别的源请求脚本,所以就有很聪明的开发前辈利用这个 “ 漏洞 ” 进行跨域,这个方法便是JSONP。
这篇文章带你完全理解,同源策略原理 以及如何解决web前端跨域问题
weixin_40291248的博客
09-14 569
最近发现好多人被这个前端跨域搞得头晕眼花 这篇文章带你完全理解   1 :同源策略原理 2: web前端跨域代理 3: NODEJS后端跨域开放 首先先说同源策略 这个只有浏览器独有 客户端不会出现跨域 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源定义如果两个 URL 的protocol、port(en-US)(如果有指定的话)和host都相同的话,则...
同源策略简介
qq_51515209的博客
11-28 966
同源策略简介
同源策略是什么?为什么会有同源策略
weixin_38358629的博客
10-09 4313
协议、域名以及端口号相同就为同源,是由Netscape提出的一个著名的安全策略。 策略主要限制js的能力 1.无法读取非同源的 cookie、Storage、indexDB的内容 2.无法读取非同源的DOM 3.无法发送非同源的AJAX,更加准确的说应该是发送了请求但被浏览器拦截了,也就是说浏览器会拦截非同源的请求。 为什么会有同源策略?简单来说是为了安全 1.为了防止恶意网页可以获取其他网站的本地数据。 2.为了防止恶意网站iframe其他网站的时候,获取数据。 3.为了防止恶意网站在
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
实现跨域的方式 什么是同源策略
01-09
实现跨域的方式 什么是同源策略
深入浅析同源策略和跨域访问
11-22
1. 什么是同源策略   理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则...
什么是同源策略
热门推荐
qq_44818085的博客
10-27 1万+
1.同源策略是什么? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能 如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是一个安全策略。所有支持JavaScript的浏览器都会使用这个策略 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。 2.为什么要同源限制? 同源策略存在的意义: 非同源下的 cookie 等隐私数据可以被随意获取 非同源下的 DOM 可以的随意操作 ajax 可以任意请求的话,用
前端必备HTTP技能之同源策略详解
Catie
09-09 909
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
知识总结:什么是同源策略吗?那怎么解决跨域问题?知道 JSONP 原理吗?
小草莓的博客
06-22 638
一、同源策略 端口、域名和协议 必须都要相同。这是NetScape提出的安全策略,Web构建在同源策略基础上的,浏览器为安全考虑只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,是不能读写对方的资源。 同源策略限制:cookie,localStorage 和 indexDB无法获取,DOM 和 JS对象也无法获取,Ajax请求也不能发送。 二、如何解决跨域 什么是浏览器跨域?就是一个域的页面去请求另一个不同域的资源 详细可见:https://segmentfault.co.
同源策略和跨域访问
qgw_2000的专栏
05-03 3658
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
同源策略 详解
NB_666的博客
12-28 685
深入了解同源策略及有那些应用场景 http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html
关于同源策略的理解
阴晦的博客
03-28 2049
0x00000001.首先让我们明确一下相关概念: 源:源即是协议、域名和端口号。 如:https://blog.csdn.net/zzy2210:8080 就是一个源 同源:即源相同,源也就是说只要协议、域名、端口号相同便属于同源。 如:对于https://blog.csdn.net/zzy2210 http://blog.csdn.net/zzy2210 ...
浏览器(内核,同源策略原理,渲染...)
oldArray的博客
01-16 494
浏览器存储 特点 cookie localStorage sessionStorage indexDb 生命周期 可过期 除非清理,否则一直存在 页面关闭就清理 除非清理,否则一直存在 存储大小 4K 5M 5M ∞ 与服务端通信 请求携带在 header 头部 no no no 浏览器内核 浏览器最重要或者说核心的部分是“Rendering Engine”,可大概译为...
什么是同源策略和非同源策略
最新发布
05-24
同源策略和非同源策略是用于限制网页脚本访问其他网站资源的安全策略。 同源策略是指,如果两个网址具有相同的协议、主机名和端口号,则这两个网址属于同一个源。同源策略要求网页脚本只能访问与其来源网址同源的资源,而不能访问其他网址的资源,这样可以防止恶意脚本获取用户的敏感信息。 非同源策略则是指,如果两个网址不满足同源策略的要求,则这两个网址属于不同的源。在非同源情况下,网页脚本不能直接访问其他网址的资源,但可以通过跨域通信技术(例如 JSONP、CORS 等)来间接获取其他网址的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天玄TX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值