Web浏览器的同源策略:深入解析与实战技巧
同源策略(Same-Origin Policy,SOP)是Web安全的基础基石,旨在限制一个源上的文档或脚本如何与另一个源上的资源进行交互。这一策略有效地防止了恶意网站访问敏感数据,保障了Web应用的安全。本文将全面剖析同源策略的核心概念、其背后的实现机制,并通过一系列示例演示如何在实际开发中遵循这一策略,同时分享一些绕过限制的合法技术,如CORS(跨源资源共享)和POSTMessage。
同源策略的基本概念
同源策略规定,只有当两个资源拥有相同的协议(http或https)、域名和端口时,它们才被视为来自同一个源。例如,http://example.com:8080
和 http://example.com:80
不被认为是同源的,因为端口号不同。同源策略主要影响以下几个方面:
- 脚本执行:不能读取或修改来自不同源的DOM。
- AJAX请求:默认情况下,XMLHttpRequest和Fetch API只能向同源的服务器发送请求。
- Cookie访问:不能读取或设置不同源的Cookies。
示例一:检测源与目标是否同源
在JavaScript中,我们可以通过比较URL来判断两个资源是否来自同一源:
function isSameOrigin(urlA, urlB) {
const originA = new URL(urlA).origin;
const originB = new URL(urlB).origin;
return originA === originB;
}
console.log(isSameOrigin('http://example.com', 'http://example.com/path')); // true
console.log(isSameOrigin('http://example.com', 'https://example.com')); // false
示例二:尝试读取跨源资源
假设我们有两个HTML页面,分别位于http://example.com
和http://other.com
。如果从http://example.com
的页面尝试读取http://other.com
页面中的内容,将触发安全错误:
<!-- example.com/index.html -->
<script>
const iframe = document.createElement('iframe');
iframe.src = 'http://other.com';
document.body.appendChild(iframe);
// 尝试访问其他源的DOM
setTimeout(() => {
try {
console.log(iframe.contentWindow.document.documentElement.innerHTML);
} catch (error) {
console.error('Cross-origin access denied:', error);
}
}, 1000);
</script>
示例三:使用CORS进行跨源请求
CORS是一种安全机制,允许服务器明确指定哪些源可以访问其资源。服务器通过响应头Access-Control-Allow-Origin
来实现这一点:
// 发起跨源请求
fetch('http://other.com/data')
.then(response => response.json())
.then(data => console.log(data))
.catch(error => console.error('Fetch error:', error));
服务器响应:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://example.com
...
示例四:利用POSTMessage进行跨源通信
window.postMessage
允许不同源的窗口之间进行通信,只要接收方监听并处理message
事件:
// example.com/index.html
window.addEventListener('message', event => {
if (event.origin !== 'http://other.com') return;
console.log('Received message:', event.data);
});
// other.com/index.html
const targetWindow = document.querySelector('iframe').contentWindow;
targetWindow.postMessage({ type: 'GREETING', data: 'Hello from other.com' }, 'http://example.com');
不同角度的功能使用思路
1. 利用CORS预检请求
对于PUT、DELETE等非简单请求,浏览器会先发送一个预检请求(OPTIONS方法),服务器需要通过Access-Control-Allow-Methods
和Access-Control-Allow-Headers
响应头来允许特定的请求方法和头部。
2. 使用JSONP进行跨域数据获取
虽然JSONP不是一种安全的方法,但在CORS不被支持的情况下,可以作为一种备选方案。它利用了<script>
标签不受同源策略限制的特点:
<script src="http://other.com/data?callback=myCallback"></script>
<script>
function myCallback(data) {
console.log(data);
}
</script>
实际工作中的使用技巧
1. 开发环境与生产环境的CORS策略
在开发环境中,可以使用代理服务器或开发服务器插件来绕过CORS限制,但在生产环境中,必须正确配置服务器的CORS策略。
2. 跨域资源共享的最佳实践
- 限制
Access-Control-Allow-Origin
到实际需要的源,避免使用*
。 - 对于敏感操作,使用
Access-Control-Allow-Credentials
并确保请求携带Cookie。
同源策略是Web安全的重要组成部分,理解并正确应用它对于构建健壮的Web应用程序至关重要。随着Web技术的演进,同源策略也在不断完善,新的标准如CORS提供了更灵活的跨域通信方式。开发者应当持续关注这些变化,确保自己的应用既安全又高效。
***
>欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。
>***
>推荐:[DTcode7](https://blog.csdn.net/black_cat7?spm=1010.2135.3001.5343)的博客首页。
>一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身农奴把歌唱,<font color='red'>一边打入敌人内部一边持续提升自己</font>,为我们广大开发同胞谋福祉,<font color='red'>坚决抵制睿智产品折磨我们码农兄弟!</font>
>***
><table><tr><th><b><font color='red'>专栏系列(点击解锁)</font></b><th><b><font color='red'>学习路线(点击解锁)</font></b><th><b><font color='red'>知识定位</font></b><tr><td><a href=https://blog.csdn.net/black_cat7/category_11327978.html target=_blank rel='noopener noreferrer '>《微信小程序相关博客》</a><td>持续更新中~<td align=left>结合微信官方原生框架、uniapp等小程序框架,记录请求、封装、tabbar、UI组件的学习记录和使用技巧等<tr><td><a href=https://blog.csdn.net/black_cat7/category_12588918.html target=_blank rel='noopener noreferrer '>《AIGC相关博客》</a><td>持续更新中~<td align=left>AIGC、AI生产力工具的介绍,例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结<tr><td rowspan=4><a href=https://blog.csdn.net/black_cat7/category_12663459.html target=_blank rel='noopener noreferrer '>《HTML网站开发相关》</a><td><a href=https://blog.csdn.net/black_cat7/category_12674047.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之html相关博客》</a><td align=left>前端基础入门三大核心之html板块的内容,<mark>入坑前端或者辅助学习的必看知识</mark><tr><td><a href=https://blog.csdn.net/black_cat7/category_11352548.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之JS相关博客》</a><td align=left>前端JS是JavaScript语言在网页开发中的应用,负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客,共同构建用户界面。<br>通过操作DOM元素、响应事件、发起网络请求等,JS使页面能够响应用户行为,实现数据动态展示和页面流畅跳转,是现代Web开发的核心<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674041.html target=_blank rel='noopener noreferrer '>《前端基础入门三大核心之CSS相关博客》</a><td align=left>介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法,同时收集精美的CSS效果代码,用来丰富你的web网页<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674050.html target=_blank rel='noopener noreferrer '>《canvas绘图相关博客》</a><td align=left>Canvas是HTML5中用于绘制图形的元素,通过JavaScript及其提供的绘图API,开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力,使得前端绘图技术更加丰富和多样化<tr><td><a href=https://blog.csdn.net/black_cat7/category_11343005.html target=_blank rel='noopener noreferrer'>《Vue实战相关博客》</a><td>持续更新中~<td align=left>详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674092.html target=_blank rel='noopener noreferrer '>《python相关博客》</a><td>持续更新中~<td align=left>Python,简洁易学的编程语言,强大到足以应对各种应用场景,是编程新手的理想选择,也是专业人士的得力工具<tr><td><a href=https://blog.csdn.net/black_cat7/category_11463502.html target=_blank rel='noopener noreferrer '>《sql数据库相关博客》</a><td>持续更新中~<td align=left>SQL数据库:高效管理数据的利器,学会SQL,轻松驾驭结构化数据,解锁数据分析与挖掘的无限可能<tr><td><a href=https://blog.csdn.net/black_cat7/category_12671914.html target=_blank rel='noopener noreferrer '>《算法系列相关博客》</a><td>持续更新中~<td align=left>算法与数据结构学习总结,通过JS来编写处理复杂有趣的算法问题,提升你的技术思维<tr><td rowspan=3><a href=https://blog.csdn.net/black_cat7/category_12463107.html target=_blank rel='noopener noreferrer '>《IT信息技术相关博客》</a><td>持续更新中~<td align=left>作为信息化人员所需要掌握的底层技术,涉及软件开发、网络建设、系统维护等领域的知识<tr><td><a href=https://blog.csdn.net/black_cat7/category_12652565.html target=_blank rel='noopener noreferrer '>《信息化人员基础技能知识相关博客》</a><td align=left>无论你是开发、产品、实施、经理,只要是从事信息化相关行业的人员,都应该掌握这些信息化的基础知识,可以不精通但是一定要了解,避免日常工作中贻笑大方<tr><td><a href=https://blog.csdn.net/black_cat7/category_12674074.html target=_blank rel='noopener noreferrer '>《信息化技能面试宝典相关博客》</a><td align=left>涉及信息化相关工作基础知识和面试技巧,提升自我能力与面试通过率,扩展知识面<tr><td><a href=https://blog.csdn.net/black_cat7/category_11376833.html target=_blank rel='noopener noreferrer'>《前端开发习惯与小技巧相关博客》</a><td>持续更新中~<td align=left>罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等<tr><td><a href=https://blog.csdn.net/black_cat7/category_12271105.html target=_blank rel='noopener noreferrer '>《photoshop相关博客》</a><td>持续更新中~<td align=left>基础的PS学习记录,含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结<tr><td><a href=https://blog.csdn.net/black_cat7/category_11412314.html target=_blank rel='noopener noreferrer '>日常开发&办公&生产【实用工具】分享相关博客》</a><td>持续更新中~<td align=left>分享介绍各种开发中、工作中、个人生产以及学习上的工具,丰富阅历,给大家提供处理事情的更多角度,学习了解更多的便利工具,如Fiddler抓包、办公快捷键、虚拟机VMware等工具</table> <br>
> 吾辈才疏学浅,摹写之作,恐有瑕疵。望诸君海涵赐教。望轻喷,嘤嘤嘤 <br>
> 非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益,纵其简陋未及渊博,亦足以略尽绵薄之力。倘若尚存阙漏,敬请不吝斧正,俾便精进!