同站 和 同源 你理解清楚了么?

最新推荐文章于 2023-01-10 01:16:14 发布
最新推荐文章于 2023-01-10 01:16:14 发布
阅读量4.3k 收藏 6
点赞数 2

同站(same-site) 和同源(same-origin) 经常在页面跳转、fetch()请求、cookie、打开弹出窗口、嵌入式资源和 iframe 等场景中被提到,但是有相当一部分同学的理解是错误的。

源(Origin)

Origin 是协议(例如 HTTPHTTPS )、主机名和端口的组合。例如,给定一个 URL https://www.example.com:443/foo,它的 Origin 就是 https://www.example.com:443

同源(same-origin) 和跨域(cross-origin)

具有相同协议,主机名和端口的组合的网站被视为 相同来源 。其他所有内容均视为 跨域

站(Site)

.com.org 这样的顶级域名(tld)会在根区域数据库中被列出。在上面的示例中, siteTLD 和它前面的部分域的组合。例如,给定一个URL  https://www.example.com:443/foosite 就是 example.com

然而,对于 .co.jp.github 这样的域名。仅仅使用 .jp.ioTLD 是不够细粒度的。而且也没有办法通过算法确定特定 TLD 的可注册域名级别。这就是创建“有效顶级域名”列表的原因。它们在公共后缀列表中定义。etld 列表在 publicsuffix.org/list 上维护。

整个站点命名为 eTLD + 1 。例如,假定 URLhttps://my-project.github.io,则 eTLD.github.io ,而 eTLD + 1my-project.github.io,这被视为 site。换句话说,eTLD+1 是有效的 TLD 紧接其之前的域的一部分。

同站(same-site) 和 跨站(cross-site)

具有相同 eTLD+1 的网站被视为 “同站”。具有不同 eTLD+1 的网站是 “跨站”。

schemeful same-site

尽管 “同站” 忽略了协议(“无协议的同站”),但在某些情况下,必须严格区分协议,以防止 HTTP 被用作弱通道。在这些情况下,一些文档将 “同站” 更明确地称为 schemeful same-site 。在这种情况下,http://www.example.comhttps://www.example.com被认为是跨站点的,因为协议不匹配。

如何检查请求是否为 “同站”,“同源”,或“跨站”

Chrome 发送请求时会附带一个  Sec-Fetch-Site HTTP Header 。截至2020年4月,还没有其他浏览器支持 Sec-Fetch-Site,这个 HTTP Header 将有以下值之一:

  • cross-site

  • same-site

  • same-origin

  • none

通过检查 Sec-Fetch-Site 的值,您可以确定请求是 “同站”,“同源” 还是 “跨站”。

推荐阅读

1、你不知道的前端异常处理(万字长文,建议收藏)

2、你不知道的 TypeScript 泛型(万字长文,建议收藏)

3、lucifer与它的《力扣加加》来啦

4、HTTP 缓存

5、或许是一本可以彻底改变你刷 LeetCode 效率的题解书

6、一文助你搞懂 AST

7、分分钟教会你搭建企业级的 npm 私有仓库

关注加加,星标加加~

如果觉得文章不错,帮忙点个在看呗

fe_lucifer
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析同源策略和跨域访问
11-22
1. 什么是同源策略      理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。    同源策略:         浏览器的同源策略,限制了来自不同源的”document”或脚本,对当前”document”读取或设置某些属性。 (白帽子讲web安全[1])         从一个域上加载的脚本不允许访问另外一个域的文档属性。     举个例子:         比如一个恶意网站的页面通过iframe嵌入了银行的登录页
同源尾巴? 还是同源的故事?
06-29
同源尾巴? 还是同源的故事? 同源尾巴? 还是同源的故事? James D. McGhee 总结 发现了小鼠 Brachyury (T) 基因座的经典突变,因为它们导致杂合新生儿的尾巴缩短。 斑马鱼中的无尾 (ntl) 突变体,顾名思义,表现出类似的表型。 在果蝇中,短肠 (byn) 基因中的突变体会破坏后肠的形成。 这些基因都编码 T-box 蛋白,一类序列特异性 DNA 结合蛋白和转录因子。 由于两个尾部祖细胞的命运决定失败,秀丽隐杆线虫mab-9 基因的突变导致雄性尾部的大量缺陷。 在最近的一篇论文中,Woollard 和 Hodgkin(1) 克隆了 mab-9 基因,发现它也编码 T-box 蛋白,类似于脊椎动物中的 Brachyury 和果蝇中的短肠。 作者建议他们的结果支持这些基因在后肠形成中的进化古老作用的模型。 我们将讨论这个提议,并试图决定基因序列、基因相互作用和基因表达模式是否允许对祖先后生动物的后端做出任何结论。 BioEssays 22:781±785, 2000. ß 2000 John Wiley & Sons, Inc. 介绍 在过去的 20 年
electron-main-fetch:使用Electron主要过程中的浏览器Fetch API
05-26
电子主取 使用Electron主要过程中的浏览器 安装 $ npm install electron-main-fetch 需要Electron 9或更高版本。 用法 const fetch = require ( 'electron-main-fetch' ) ; ( async ( ) => { const response = await fetch ( 'https://api.ipify.org' ) ; console . log ( await response . text ( ) ) ; //=> '170.56.15.35' } ) ( ) ; 原料药 提取(输入,选项) 与相同的 响应对象示例 { type : 'cors' , url : 'https://api.ipify.org/' , redirected : false , statu
基于DPI不对称流量的同源同宿解决方案
01-19
在当前互联网应用分析领域,为了获得更加准确的基础数据,流量采集时需要保证每次会话流量的完整性。通过对流量不对称的起因及影响进行分析,结合业务分析的实际需要,提出同源同宿流量归并基本思路和解决方案。
react-native fetch的具体使用方法
08-28
本篇文章主要介绍了react-native fetch的具体使用方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Cookie中SameSite的问题与解决办法
JustDoSelf的博客
09-09 2万+
问题:在解决跨域问题的前提下,使用谷歌浏览器仍然登录失败。   由于登录时使用到了cookie,项目又是前后端分离,所以在跨域前提下解决跨域问题后可以正常发送cookie。但是在Chrome浏览器高版本中,它为了防止第三方网站盗用cookie实现CSRF攻击,所以谷歌采用设置cookie的same-site和secure属性来防止CSRF攻击。 解决方案: 一、强制用户不要使用Chrome类似的浏览器(开个玩笑哈,这样当然是不合理的) 那肯定是pass掉 二、关掉Chrome浏览器的这个设置(由于安全性
Cookie的SameSite属性
qq_36690992的博客
06-16 2万+
SameSite 属性 Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击 和用户追踪(第三方恶意获取cookie),限制第三方 Cookie,从而减少安全风险。 SameSite属性可以设置三个值:Strict、Lax、None。 Strict:严格,完全禁止第三方获取cookie,跨站点时,任何情况下都不会发送cookie;只有当前网页的 URL 与请求目标一致,才会带上 Cookie。这个规则过于严格,可能造成非常不好的用户体验。比如,
chrome 同站策略(samesite)问题及解决方案
热门推荐
左直拳的马桶_日用桶
01-08 2万+
一、同站策略问题 chrome自版本80之后,就出现了所谓同站策略问题。 即,在A页面跳到B页面,如果chrome发现它们不是同一个站点的话,就不传cookie给B页面所在的站点。众所周知,原本cookie是会附在浏览器到服务器的每个请求(request)里的,这是浏览器自动完成的,现在好了,chrome分情况,可能不给你做这个工作。 这样的后果是什么呢?就是有些功能以前没问题的,现在不行了。拿我们来说,原本我们有些WEB项目,会用iframe将其他项目的嵌进去,看上去就好像一个系统一样,这叫界面集成吧,很
彻底搞懂「同源same-origin」和「同站same-site」的区别
包磊磊的博客
01-03 2003
作为一名前端,肯定会接触到「同源」和「同站」这两个名词,比如: Ajax 请求会受到浏览器同源策略的制约 Cookie 的 SameSite 属性表示该 Cookie 是否能被跨站发送 那究竟什么是同源(Same-Origin)、什么是同站(Same-Site)呢?在弄清楚这两个概念之前,必须先弄清楚「源」和「站」的区别: 源(Origin) 源(origin)= 协议(scheme)+ 主机名(hostname)+ 端口号(port) 假如网址是: https://www.examp
浅谈cookie中的SameSite属性
weixin_47450807的博客
03-03 8936
今天看了一道面试题,关于cookie中的SameSite属性,但是由于自己开发经验较少,所以并没有涉及到。所以我去查了一些文章,说一下自己对于cookie的SameSite属性的理解。 一、写在头部 我们在处理CSRF攻击的时候,常常使用的解决方案是1、判断http的Referer属性,2、设置csrf token,3、在http中设置自定义字段保存token。我们使用如上三种方式就可以解决CSRF的攻击。今天我们所说的cookie中的SameSite属性也是可以解决CSRF攻击的。 我们都是HTTP是没有
定义同一性:历史、生物和生成同源
06-29
定义相同性:历史、生物学和生成同源性 定义相同性:历史、生物学和生成同源性 Ann B. Butler1* 和 William M. Saidel2 总结 目前关于同源性的争论来自三个不同的研究兴趣——系统发育学、特征进化和生成途径。 系统...
浏览器Cookie&SameSite
tonggui77的博客
06-01 1266
目录 Cookie基础 why HTTP 1.x是无状态的协议 what 浏览器在浏览网站时存储在用户计算机上的一小段数据。 被设计为网站记住状态信息或记录用户的浏览活动 记住用户先前在表单字段中输入的信息 when 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) .
清楚同源、跨源、同站、跨站
YopenLang的博客
01-20 4215
鹏哥儿最近重新回顾了一下XSS(Cross Site Script)和CSRF(Cross Site Request Forgery),又联系到cookie的同源策略(Same-origin policy),发现自己对**源**(origin)和**站**(site)有些混淆,所以找了篇优秀的文章:*Understanding "same-site" and "same-origin"*,来对两者加以区分。............
同源、跨域、跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4358
系统性梳理前端同源策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域、跨站问题解决方法。
同源跨域的概念与实现跨域的几种方案
好好睡觉
01-10 1056
同源政策、同源策略、跨域方法、iframe跨域方法、postmessage跨域、window.name跨域、片段识别符跨域、JSONP跨域、
理解“same-site“ 和 “same-origin“
weixsun的博客
04-14 697
Understanding "same-site" and "same-origin" 作者:Eiji Kitamura 译者:weixsun 原文:Understanding "same-site" and "same-origin" "same-site" and "same-origin" are frequently cited but often misunderstood te
新版chrome跨域问题:cookie之SameSite属性
Welcome to Domla's world
03-16 2万+
最近在使用前后端分离开发的时候,遇到了一个诡异的问题,无论如何设置跨域,同一个页面获取到的session始终不一致。 事情的起始大概是这样的: 首先说一下我的业务逻辑,其实就是最常见的登录功能,获取验证码后存入session,用户提交登录时,将用户提交的验证码与从session里获取的验证码进行对比;功能简单,也好理解。可是却遇到了如下一系列问题: 发现问题: 登录界面前后端分离,ajax...
同源和跨域的知识点
北寻北爱
03-01 731
同源 1.同源的概念 同源(也叫同源策略),是浏览器中的一种安全机制 2.同源的规则 同源指‘三个相同’,协议相同,域名相同,端口号相同(简单来说,就是同一个网站) 3.同源的目的 是为了保护用户信息的安全,防止恶意网站窃取信息 4.同源策略的限制范围(也就是不同源的情况) ( 1 ) cookie,localStorage,IndexDB无法读取 (2)DOM无法获取 (3) ajax请求不能发...
同源的网页能否访问相同的localStorage和sessionStorage?
最新发布
10-27
同源的网页可以访问相同的localStorage和sessionStorage。localStorage和sessionStorage都是基于同源策略的,只有在同源的情况下才能够进行访问。同源指的是协议、域名、端口号都相同。因此,只要两个网页的协议、域名、端口号都相同,它们就可以访问相同的localStorage和sessionStorage。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值