浏览器同源策略

浏览器同源策略

同源(Same Origin Policy, SOP)的定义

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。

下表给出了相对http://store.company.com/dir/page.html同源检测的示例:

URL结果原因
http://store.company.com/dir2/other.html成功
http://store.company.com/dir/inner/another.html成功
https://store.company.com/secure.html失败不同协议 ( https和http )
http://store.company.com:81/dir/etc.html失败不同端口 ( 81和80)
http://news.company.com/dir/other.html失败不同域名 ( news和store )

同源策略允许运行在页面的脚本可以无限制的访问同一个网站(同源)中其他脚本的任何方法和属性。当不同网站页面(非同源)的脚本试图去互相访问的时候,大多数的方法和属性都是被禁止的。

IE例外

当涉及到同源策略时,Internet Explorer 有两个主要的不同点

  • 授信范围(Trust Zones):两个相互之间高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
  • 端口:IE未将端口号加入到同源策略的组成部分之中,因此 http://company.com:81/index.htmlhttp://company.com/index.html属于同源并且不受任何限制。

源的更改

document.domain = "domain.com";

使用document.domain来允许子域安全访问其父域时,您需要在父域和子域中设置 document.domain为相同的值。这是必要的,即使这样做只是将父域设置回其原始值。不这样做可能会导致权限错误。

跨域测试,相同主域名不同子域名下的页面,可以设置document.domain让它们同域。将a.htmlb.html设置相同主域,实现跨域。

<!-- a.html -->
<html>
<body>
    <script type="text/javascript">
        document.domain = 'mark.com:8000';
        var ifr = document.createElement('iframe');
        ifr.src = 'http://b.mark.com:8000/b.html';
        ifr.style.display = 'none';
        document.body.appendChild(ifr);
        ifr.onload = function() {
            var ifrdoc = ifr.contentDocument || ifr.contentWindow.document;
            alert(ifrdoc.getElementsByTagName('html')[0].innerHTML);
        };
    </script>
</body>
</html>

<!-- b.html -->
<script type="text/javascript">
    document.domain = "mark.com:8000";
</script>

跨源

使用CORS允许跨源访问。

阻止跨源

  • 阻止跨域写操作,只要检测请求中的一个不可测的标记(CSRF token)即可,这个标记被称为(CSRF)标记。必须使用这个标记来阻止页面的跨站读操作。

  • 阻止资源的跨站读取,需要保证该资源是不可嵌入的。阻止嵌入行为是必须的,因为嵌入资源通常向其暴露信息。

  • 阻止跨站嵌入,需要确保你的资源不能是以上列出的可嵌入资源格式。多数情况下浏览器都不会遵守 Conten-Type消息头。例如,如果在HTML文档中指定 <script>标记,则浏览器将尝试将HTML解析为JavaScript。 当资源不是网站的入口点时,还可以使用CSRF令牌来防止嵌入。

参考:
https://www.anquanke.com/post/id/86078
https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

转载于:https://www.cnblogs.com/mark-zh/p/10484339.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值