同源策略是为了防止恶意网站篡改其他网站信息而设立的安全机制。它规定,只有相同协议、端口和主机的页面才能互相访问对方的资源。在IE中,端口不作为同源策略的判断条件。不受同源策略限制的标签包括<script>和<img>等,它们可以通过src属性加载外部资源。此外,通过document.domain可以变更页面的源,但只能降级,如从http://store.company.com变为http://company.com。
本文根据其他文章做修改和补充。
一、同源策略的产生
JS可以读取/修改网页的值。
一个浏览器中,打开一个银行网站和一个恶意网站,如果恶意网站能够对银行网站进行修改,那么就会很危险。
你打开了恶意网站和另一个网站,如果没有同源限制,该恶意网站就可以构造AJAX请求频繁在另一个网站发广告帖。
同源策略就是为了解决这类问题而出现的。
二、什么是同源策略(举例)
同源策略,即拥有相同的协议(protocol),端口(如果指定),主机(域名)的两个页面是属于同一个源。
然而在IE中比较特殊,IE中没有将端口号加入同源的条件中,因此上图中端口不同那一项,在IE中是算同源的
三、不遵循同源策略的标签
<script> <img> <iframe>中的src,href都可以任意链接网络资源,相当于对所要求的源进行了一次请求。
四、源继承
来自about:blank,javascript:和data:URLs中的内容,继承了将其载入的文档所指定的源,因为它们的URL本身未指定任何关于自身源的信息。
最低0.47元/天 解锁文章
扫一扫
290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
