认识同源策略

已于 2024-07-11 20:27:13 修改
阅读量402 收藏 3
点赞数 3
文章标签: js 浏览器 web 同源策略 CORS
于 2024-07-09 22:39:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZTBztb123456/article/details/140308574
版权

同源策略是一种浏览器安全机制,用于限制一个源的文档或脚本如何与另一个源的资源进行交互。源由协议(如HTTP或HTTPS)、域名和端口号组成。如果两个URL的协议、域名和端口都相同,则它们具有相同的源。

同源策略主要影响以下几个方面:

  1. Cookie、LocalStorage 和 IndexedDB:这些数据存储机制只能访问相同源的文档中的信息。
  2. DOM 操作:如果两个网页不是同源的,那么一个网页的JavaScript代码不能操作另一个网页的DOM。
  3. AJAX 请求:AJAX请求可以正常发出,但是响应数据不会交给开发者。
  4. 跨域限制仅存在浏览器端,服务端不存在跨域限制。
  5. ,,

同源策略的目的是防止恶意文档窃取数据或对另一个源的资源进行未授权的访问。然而,这限制了Web应用程序的灵活性,因为现代Web应用经常需要跨域交互。为了解决这个问题,CORS(Cross-Origin Resource Sharing)协议被引入,它允许服务器明确允许某些跨源请求。

例如,如果一个网页需要从另一个域的服务器获取数据,服务器可以设置响应头Access-Control-Allow-Origin,指定哪些源可以访问其资源。这样,浏览器就会允许跨源请求。如果没有设置这个响应头,浏览器会根据同源策略阻止请求。

@业精于勤荒于嬉
关注
同源策略认识
张梦莹的博客
12-13 971
同源策略:一、概念 (1):是浏览器最核心也是最基本的安全功能,会约束浏览器的行为。 (2):会限制浏览器:只允许本域(domain)内的脚本读写本于内的资源,不允许访问本域外的资源。二 、为何需要同源策略 为了保证用户信息的安全,防止恶意网站窃取用户信息。三、如何判断是否同源 判断三要素:协议,域名,端口号。这三个必须全部一致才能视为同源,即属于
浏览器同源策略-初步认识
Simon111Qiu的博客
12-12 198
同源策略说明 客户端交互安全问题 传统表单提交(不设置target),只能提交到当前地址栏的URL,这个过程会伴随着非常明显的交互反馈,比如浏览器会刷新整个页面,如果有任何危险的操作势必会引起用户的警觉。但针对iframe也有安全问题,比如你在登陆银行页面的时候,如果返回的数据在恶意的iframe中被接受,则会造成重要信息的泄露。 javascript如果接管了整个后续请求与提交数据的过程,如果被...
同源策略简单认识
weixin_47306547的博客
09-14 209
目录 同源策略 同源策略应用(访问网站时携带的 Cookie 判断) 同源策略 同源策略(Same-Origin Policy),就是为例保证互联网中各类资源的安全性而诞生的产物,它实际上是一个众多浏览器厂商共同遵守的约定。 同源策略浏览器中最基本的安全功能。缺少同源策略,很多浏览器的常规功能都会受到影响,可以说 Web 是构建在同源策略基础之上的。如果 Web 世界没有同源策略,当你登录FreeBuf账号并打开一个站点时,这个站点上的 Javascript 可以跨域读取你的FreeBuf账号数
关于同源策略
weixin_34275734的博客
09-09 72
作为网络安全的一项基本措施,早期由Netscape引入浏览器,同源指的是: 1.协议相同; 2.域名相同; 3.端口相同; 违背同源策略的情况有: 1.协议名不同,如http和https 2.端口号不同; 3.域名不同; 4.主域相同,子域不同; 5.主域和主域对应的ip 同源的情况: 同协议同域名同端口下的不同文件目录; a.com与www.a.com 关于跨域的...
基于同源策略CORSJSONP的初步认识
qq_43668710的博客
04-12 215
前言 这几天在拜读道哥的<<白帽子讲Web安全>>这本书,在看浏览器安全这章第一次接触到同源策略(Same Origin Policy)这个词,再加上道哥对SOP(Same Origin Policy)的字里行间都透露着其不二般的重要性,所以SOP自然毫无疑问值得我写一篇博客来记录对它的学习了! 此处以一张来自wooyun的截图证明SOP在浏览器安全中的地位 正文开始 什...
同源策略及cookie中的path
工作学习笔记
06-27 991
【代码】浏览器同源策略
CORS解决浏览器跨域请求(同源策略)限制原理、后端springboot CROS跨域解决方案
weixin_43281875的博客
09-21 1035
源=协议+域名+端口号不看后面跟着的路径,如的源是http和https是两种连接协议服务器明确表示拒绝跨域请求或没有表示的,则校验不通过服务器表示允许跨域请求,则浏览器校验通过由于要求服务器在响应体添加相关字段来通过校验,所以服务器必须是自己人,比如无法向百度的接口发送跨域请求,因为人家不认识你,就无法在响应体头里配置源。
json与jsonp的区别、同源策略
_valora的博客
07-15 3624
有关json与jsonp的区别(json才是目的,jsonp只是手段)介绍如下所示: 一言以蔽之,json返回的是一串数据;而jsonp返回的是脚本代码(包含一个函数调用); JSON其实就是JavaScript中的一个对象,跟var obj={}在质上完全一样,只是在量上可以无限扩展。简单地讲,json其实就是JavaScript中的对象(Object)和数组(Array,其实也
浏览器同源策略及 Ajax 跨域解决方案
weixin_34248118的博客
07-13 460
因为在开发过程中会经常遇到因为浏览器同源策略而导致的跨域问题,而多数开发者对浏览器同源策略和跨域问题并没有很清晰的认识,所以打算在这篇文章中说下浏览器同源策略和我们最经常会遇到的 Ajax 跨域问题及其解决方案。 对于源的定义,MDN 中是这么解释的:如果两个页面的协议、域名和端口都相同,则两个页面具有相同的源。 从定义我们可以知道,关注两个页面是否同源,只要比较两个页面的协议、域名和端口即可。 ...
2023年课程项目作业要求及同源策略研究
- 名称“同源策略综述-软件学报-线上发表.pdf”暗示了文档是一个关于同源策略的综述文章,该文章可能发表在了“软件学报”期刊上,并且是线上发表形式。同源策略是网络安全领域中的一个重要概念,特别是在Web开发和...
DNS重绑定攻击记录(绕过同源策略、绕过IP黑名单、SSRF绕过)
墨痕诉清风的博客
01-02 1322
DNS的存在就是为了域名解析,DNS绑定的效果就是在DNS中将域名请求解析为相应的服务器IP地址请求,好处就是人们访问服务器的时候,不需要背枯燥的32位IPv4的地址,而是可以大众化的单词,相当有含义和方便。访问 qq.*.top 的域名时候,就会去到ns1,然后对我们的服务器发起DNS Query查询请求,53端口UDP协议的请求,所以阿里云的还需要进行配置下放行该DNS查询使用的53端口。,进而实现其他攻击。,但对于浏览器来说,整个过程访问的是同一域名,认为是安全的,这就造成了DNS重绑定攻击。
网络安全面试必备:对称加密与非对称加密详解及同源策略解析
本文主要关注两个关键知识点:对称加密与非对称加密的区别,以及同源策略的作用。 首先,**对称加密**和**非对称加密**是加密技术的基础。对称加密是一种使用同一密钥进行加密和解密的方法,由于密钥管理相对简单,...
网络安全面试必备:对称加密与非对称加密,同源策略详解及XSS盗取cookie风险
- 浏览器实施同源策略以保护用户隐私,防止恶意网站窃取数据。它规定了不同源(不同域名)之间交互的限制,比如脚本只能访问来自同一源的内容,避免跨站请求伪造(CSRF)和窃取用户信息,特别是cookie。 3. **...
网络社会的同源与非同源:文化特性与研究策略
网络社会文化的同源性与非同源性是本文的核心议题,它探讨了网络社会作为现实社会的延伸和独立存在的双重特性。...通过全面分析网络社会的复杂性,本文旨在为网络社会文化研究提供一个更深层次的认识框架。
毕业设计论文SpringBoot+Vue畅销图书推荐系统.docx
10-16
毕业设计论文
(自适应手机版)html5蓝色装修工程建设类企业网站响应式整站模板_网站整站打包下载.zip
最新发布
10-16
(自适应手机版)html5蓝色装修工程建设类企业网站响应式整站模板_网站整站打包下载.zip
毕业设计论文Django+Vue新生入学管理系统.docx
10-16
毕业设计论文
毕业设计论文Nodejs+Vue摄影分享网站.docx
10-16
毕业设计论文
基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip
10-16
基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip基于Seq2Seq模型的机器翻译系统源码+模型+数据集.zip基于Se 【说明】 【1】项目代码完整,确保稳定可靠运行后才上传。欢迎下载使用!在使用过程中,如有问题或建议,请及时私信沟通,帮助解答。 【2】项目主要针对各个计算机相关专业,包括但不限于计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网等领域的在校学生、专业教师或企业员工使用。 【3】项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 【4】如果基础还行,或热爱钻研,可基于此项目进行二次开发,DIY其他不同功能,欢迎交流学习。 【特别强调】 项目下载解压后,项目名字和项目路径不要用中文,建议解压重命名为英文名字后再运行!项目易上手运行 使用过程遇到问题先搜索下,一般都是环境问题,当然也可以私信沟通,祝顺利!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@业精于勤荒于嬉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值