【安全】P 4-20 浏览器同源策略介绍

最新推荐文章于 2022-11-28 23:00:35 发布
最新推荐文章于 2022-11-28 23:00:35 发布
阅读量96 收藏
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113900692
版权

目录

0X01 源的含义

源指源头,信息来源的位置。在计算机中源在RFC6454文档中规定,源是由协议、主机名、端口名组成。
范例: 协议://主机名:端口号/
例如:http://www.example.com 与 https://www.example.com 不是同源。

0X02 同源策略

在计算机中,同源策略(Same-origin Policy , SOP)用于阻止一个非同源的页面恶意代码去访问另外一个非同源页面。
只有两个页面属于同一个源才能互相访问。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。
例如:源A页面要访问源B页面认证Cookie,如果不加阻止读取Cookie,会造成Cookie欺骗绕过登陆验证。
注意:同源一定要是 协议、主机名、端口号完全一致。
在这里插入图片描述
在这里插入图片描述

0X03 IE源的特殊处理

1、位于可信域(Trust Zones)的互信的域名间,不受同源策略限制。
2、IE在判断同源时不考虑端口。
可是通过document.domain 读取或修改源。但是有限制,修改之后的源不能通过其他脚本再次修改。

0X04 document.domain

domain 属性可以解决因同源安全策略带来的不同文档的属性共享问题。降域 document.domain
同源策略认为域和子域属于不同的域,如:
child1.a.com 与 a.com,
child1.a.com 与 child2.a.com,
xxx.child1.a.com 与 child1.a.com
两两不同源,可以通过设置 document.damain=‘a.com’,浏览器就会认为它们都是同一个源。想要实现以上任意两个页面之间的通信,两个页面必须都设置documen.damain=‘a.com’。

<html>
<body>
The domain name for this document is:
<script type="text/javascript">
document.write(document.domain)
</script>
</body>
</html>

----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源策略以及解决跨域问题
Xstar12的博客
03-08 281
Access-Control-Allow-Origin 报跨域错误 Access to XMLHttpRequest at ‘https://m.lagou.com/listmore.json’ from origin ‘http://localhost’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ head...
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
同源策略
iteye_5722的博客
03-16 285
介绍 同源策略是JavaScript主要的安全策略,表示一个脚本只能读取与它同源的窗口或文档的属性,这样可以防止从一个站点载入的脚本获取或设置另一站点的文档属性。 例如,使用一段恶意的脚本代码在一个浏览器中运行,如果没有同源策略,此段恶意代码就有可能获取另一个浏览器窗口中的信息,而该窗口中有可能包含部分私有信息。 同源策略用来检测两个URL是否属于同一个源。 当一个脚本试图访问另一个...
浏览器同源策略介绍
一米八多的瑞兹的博客
02-19 283
浏览器同源策略介绍 1. 源的含义 源指源头,信息来源的位置。在计算机中源在RFC6454文档中规定,源是由协议、主机名、端口名组成。 范例: 协议://主机名:端口号/ 例如:http://www.example.com 与 https://www.example.com 不是同源。 2. 同源策略 在计算机中,同源策略(Same-origin Policy , SOP)用于阻止一个非同源的页面恶意代码去访问另外一个非同源页面。 只有两个页面属于同一个源才能互相访问。不同源的客户端脚本在没有明确授
前端必备HTTP技能之同源策略详解
Catie
09-09 913
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTML5安全介绍之内容安全策略(CSP)简介
01-19
万维网的安全策略植根于同源策略。例如www.jb51.net的代码只能访问www.jb51.net的数据,而没有访问http://www.baidu.com的权限。每个来源都与网络的其它部分分隔开,为开发人员构建了一个安全的沙箱。理论上这是完美...
同源策略详细介绍文档
05-07
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...
什么是同源策略
weixin_70437515的博客
06-28 9296
概述:先来看看 域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。同源策略限制内容有:但是有三个标签是允许跨域加载资源:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 586
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安全策略...
同源策略、跨域解决方案
antaoye1565的博客
05-10 435
1、先来说说什么是源• 源(origin)就是协议、域名和端口号。以上url中的源就是:http://www.company.com:80若地址里面的协议、域名和端口号均相同则属于同源。以下是相对于http://www.a.com/test/index.html的同源检测• http://www.a.com/dir/page.html----成功• http://www.child...
浏览器同源策略及跨域解决方案
城北荆无命的博客
10-12 2037
什么是浏览器同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,...
node学习—浏览器CORS跨域
xun__xing的博客
01-05 593
CORS跨域一、跨域1、前置知识2、JSONP缺点二、CORS原理1、概述1.简单请求2.简单请求的交互规范 一、跨域 1、前置知识 浏览器同源策略 跨域问题 JSONP原理 cookie原理 2、JSONP缺点 JSONP并不是一个好的跨域解决方案,它至少有着下面两个严重问题: 会打乱服务器的消息格式:JSONP要求服务器响应一段JS代码,但在非跨域的情况下,服务器又需要响应一个正常的JSON格式 只能完成GET请求:JSONP的原理会要求浏览器端生成一个script元素,而script元素发
同源策略简介
qq_51515209的博客
11-28 985
同源策略简介
面试题(2020)前端HTTP浏览器相关面试题
归子莫的博客
10-29 1993
面试题(2020)前端HTTP浏览器相关面试题 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢! 1、HTTP1.1 是当前使用最为广泛的HTTP协议 HTTP1.0 和 HTTP1.1 相比 HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD 方法。HTTP1.1 新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。 缓存处理:在HTTP1.0中主要使
同源策略》的简单介绍
weixin_34383618的博客
03-25 348
[TOC] 1、概述 同源策略是对JavaScript代码能够操作哪些WEB内容的一条完整的安全限制,也是由Netscape提出的一个著名的安全策略。所谓同源简单来说就是“三个相同”,**1、域名相同2、协议相同3、端口相同** 当我们使用多个<iframe>元素或者打开其他浏览器窗口的时候,这一策略就会发挥它的作用,在这种情...
同源策略介绍
weixin_44174581的博客
08-11 1748
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie的同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
浏览器同源策略,跨域(跨源)
kikajack的博客
11-13 1663
参考 https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 1. 同源策略 同源策略(same-origin policy):限制从一个源加载的文档或脚本如何与来自另一个源的
Content-Security-Policy开启同源策略
最新发布
03-21
同源策略浏览器的一项安全机制,用于限制不同源(域名、协议、端口)之间的交互。它的目的是防止恶意网站通过跨域请求获取用户的敏感信息或进行攻击。 要开启同源策略,可以通过CSP的配置来实现。在CSP头部中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值