浏览器的同源策略

最新推荐文章于 2019-08-11 09:30:43 发布
最新推荐文章于 2019-08-11 09:30:43 发布
阅读量395 收藏
点赞数
分类专栏: 安全测试

同源:

  • 协议相同
  • 域名相同
  • 端口相同

本域脚本只能读写本域内的资源,无法访问其他域的资源。

现代浏览器在安全性和可用性之间选择了一个平衡点,在遵循同源策略的基础上,选择性的未同源策略”开放了后门“。img、script、style等标签,都允许跨域引用资源,严格说这都是不符合同源要求的。然而,也只是引用而已,并不能读取这些资源的内容。这些带有“src”属性的标签每次加载的时候,实际上是由浏览器发起的一个get请求。

浏览器的同源策略,限制了来自不同源的document或脚本,对当前document读取或设置某些属性。

需要注意的是,对于当前页面来说,页面存放JavaScript文件的域并不重要,重要的是加载JavaScript的页面所在的域是什么,例如:

a.com通过以下代码

<script src=http://b.com/b.js></script>

加载了b.com页面上的b.js,但是b.js是运行在a.com页面上的,因此对于当前打开的a.com页面来说,b.js的源应该是a.com而不是b.com。



cindy_cao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器安全之同源策略
aide521521的博客
03-18 653
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响.可以说Web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现.浏览器同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性.影响"源"的因素有:协议,域名,端口号.需要注意的是,对于当前页面来说,页面存放JavaScript文...
同源策略和跨域访问
qgw_2000的专栏
05-03 3670
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略同源策略浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
浏览器同源策略详解
weixin_33794672的博客
09-02 347
概念 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权(通常是指后端给予你权力)的情况下。不能读写对方的资源。简单的来说,浏览器不允许包含在腾讯页面的脚本访问阿里巴巴页面的数据资源,会受到同源策...
同源策略
wu_dada的博客
09-25 374
1 含义          一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略。         例如img script style等标签,都允许垮域引用资源,严格说这都是不符合同源要求的。然而,你也只能是引用这些资源而已,并不能读取这些资源的内容,         1995年,同源政策由 Netsca
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
js同源策略详解
12-10
本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下: 概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个...
浏览器同源策略
php_dandan的博客
12-04 442
同源策略,它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript 的浏览器都会使用这个策略。 所谓同源是指,域名,协议,端口相同。 当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的, 即检查是否同源,只有和百度同源的脚本才会被执行。 [1] 如果非同源,那么在请求数据时,浏览器会在控制台中报...
tomcat跨域解决方案
08-13
解决tomcat在IP 和端口不同时引起的跨域问题,解决方案,通过编写crossDomain.xml文件
浏览器同源策略探究
HAPP NEW JAVA
09-18 470
$(document).ready(function(){   $("button").click(function(){     $.post("http://127.0.0.1:8081",     {       name:"Donald Duck",       city:"Duckburg"     },     function(data,status){      
浏览器同源策略类别及处理
ziwuzu的博客
05-14 126
一.要理解浏览器同源策略,首先要理解http的请求过程。 1.浏览器收到用户输入的url,如www.baidu.com 2.浏览器根据域名去DNS服务器查找对应的服务器ip 3.浏览器与服务器上的80端口建立tcp连接 4.浏览器将http请求报文发给服务器 5.服务器接收请求,将html文件以响应报文的形式发给浏览器 6.浏览器接收到响应报文,解析其中的html文件,渲染。如果...
Tomcat Access-Control-Allow-Origin(同源策略)实践
热门推荐
集成显卡的开源主页 https://github.com/0604hx
11-02 1万+
背景描述 解决方案 war应用 内嵌TomcatSpring boot 扩展阅读apache和nginx配置背景描述使用tomcat配置cdn服务器时,css文件能正常加载,但是加载字体文件时出现了Access-Control-Allow-Origin错误:已拦截跨源请求:同源策略禁止读取位于 http://localhost:9999/font-awesome/fonts/fontawesome-
浏览器同源策略及springboot中CORS跨域解决方案
rerwr1rrr的博客
08-11 291
一个源的定义 源= 协议+域名+端口(如果有指定),比如https://192.166.10.77:8080,这里https是协议,192.166.10.77是域名,8080是端口 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL 结果 ...
利用script向网站发送get请求时 浏览器同源策略会导致什么问题
06-09
如果使用 script 标签向网站发送 GET 请求,由于浏览器同源策略的限制,只能获取与当前网页同源的数据,不能获取跨域数据。这是因为 script 标签的 src 属性指向的 URL 地址必须与当前网页的域名、协议和端口号完全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值