同源策略以及绕过此限制的方法

最新推荐文章于 2024-06-10 23:15:24 发布
最新推荐文章于 2024-06-10 23:15:24 发布
阅读量4k 收藏 12
点赞数 2
分类专栏: 前端 文章标签: 同源策略 JSONP CORS document.domain fragment identifier
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duzm200542901104/article/details/85870019
版权

一、同源策略

1、何为同源?

所谓"同源"指的两个网页url的三个部分是相同的:

http://www.example.com80/dir/page.html

  • 协议相同
  • 域名相同
  • 端口相同

2、同源策略

同源策略是Web应用程序安全模型中的一个重要概念,它由 Netscape 公司在1995年引入浏览器。该策略最初是为保护DOM的访问而设计的,Web浏览器允许第一个Web页面中包含的脚本访问第二个Web页面中的数据,但前提是两个Web页面具有相同的origin。后来进行了扩展,此策略可防止一个页面上的恶意脚本通过该页面的DOM访问另一个网页上的敏感数据。这一机制对于广泛依赖HTTP cookie来维护经过身份验证的用户会话的现代Web应用程序具有特别的意义,因为服务器基于HTTP cookie信息来显示敏感信息或采取状态更改操作。必须在客户端保持无关站点提供的内容之间的严格分离,以防止数据机密性或完整性丢失。

同源策略主要应用于从脚本访问数据;通过相应的HTML标记嵌入跨源的资源,如图像、CSS和脚本不受限制

3、实现

因为它是一个重要的安全基石,所有现代浏览器都实现某种形式的同源策略,这些策略不需要与精确的规范相匹配,但通常被扩展为与其他Web技术(如Microsoft Silverlight、Adobe Flash或Adobe Acrobat或M)定义大致兼容的安全边界。

4、同源策略的限制

(1) Cookie、LocalStorage 和 IndexDB 无法读取

(2) DOM 无法获得

(3) AJAX 请求不能发送

 

二、绕过同源策略限制的方法

1、document.domain属性

Cookie 是服务器写入浏览器的一小段信息,只有同源的网页才能共享。但是,两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。

1.1、通过JS设置document.domain属性:

<script type="text/javascript">
document.domain = 'example.com';
</script>

1.2、服务器也可以在设置Cookie的时候,指定Cookie的所属域名为一级域名,比如.example.com。
Set-Cookie: key=value; domain=.example.com; path=/
这样的话,二级域名和三级域名不用做任何设置,都可以读取这个Cookie。

 

2、片段识别符(fragment identifier)

片段标识符(fragment identifier)指的是,URL的#号后面的部分,比如http://example.com/x.html#fragment#fragment

当fragment变化的时候,会触发window.onhashchange事件,可以通过修改片段标识符的值,来在两个页面之间传递数据

父窗口可以把信息,写入子窗口的片段标识符。

var src = originURL + '#' + data;
document.getElementById('myIFrame').src = src;
子窗口通过监听hashchange事件得到通知。

window.onhashchange = checkMessage;

function checkMessage() {
  var message = window.location.hash;
  // ...
}
同样的,子窗口也可以改变父窗口的片段标识符:
parent.location.href= target + "#" + hash;

3、window.name
4、跨文档通信API(Cross-document messaging)

5、JSONP

6、CORS(Cross-Origin Resource Sharing)

7、WebSockets

 

三、JSONP和CORS两种跨域方式的对比:

3.1、JSONP

  JSONP是利用浏览器对script的资源引用没有同源限制,通过动态插入一个script标签,当资源加载到页面后会立即执行的原理实现跨域的。JSONP是一种非正式传输协议,该协议的一个要点就是允许用户传递一个callback或者开始就定义一个回调方法,参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据了。
  JSONP只支持GET请求而不支持POST等其它类型的HTTP请求,它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题,JSONP的优势在于支持老式浏览器,弊端也比较明显:需要客户端和服务端定制进行开发,服务端返回的数据不能是标准的Json数据,而是callback包裹的数据。

3.2、CORS

  CORS是现代浏览器支持跨域资源请求的一种方式,当使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
  CORS支持所有的浏览器请求类型,承载的请求数据量更大,开放更简洁,服务端只需要将处理后的数据直接返回,不需要再特殊处理。

若石之上
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
绕过同源策略
wk19951125的博客
06-01 1721
绕过同源策略绕过同源策略理解同源策略SOP与DOMSOP与CORSSOP与插件通过界面伪装理解SOP通过浏览器历史理解SOP绕过SOP技术在Java中绕过SOP在Adobe Reader中绕过SOP 绕过同源策略 理解同源策略 同源:拥有相同主机名、协议和端口的页面 同源策略:同源间的资源交互不受限制 SOP与DOM 决定JavaScript及其他协议如何访问DOM时就是依赖同源策略,但是I...
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 594
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安全策略...
超全的前端绕过同源策略方法方法jsonp的使用及与json的区别
最新发布
m0_50103979的博客
06-10 724
最近博主在开发翰络云工具的ip查询工具(),并且发了一篇文章来总结和展示所有用到的ip查询接口(但是开发过程中发现一些ip接口的同源策略不允许跨域(哭死),为了能够使用这些接口,博主不得不再一次仔细研究前端的同源策略,并总结了一些绕过该策略的方法,同时附上一些容易混淆的点的辨析。JSONP(JSON with Padding)是一种跨域请求数据的方法。它利用了标签不受同源策略限制的特点,通过动态创建
同源策略及其绕过详解
yufumusui的博客
12-06 5208
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
php什么是同源策略,javascript - 绕过同源策略方法
weixin_36035750的博客
03-23 130
origin方法方法类型:iframe。请注意,这是一个iframe方法,它将document.domain的值设置为当前域的后缀。 如果它这样做,则较短的域用于后续的原始检查。 例如,假设文档中的脚本origin执行以下语句:document.domain = "company.com";执行该语句后,页面将通过origin传递原点检查。但是,出于同样的原因,company.com无法将sour...
同源策略以及cookie安全策略
08-29
然而,尽管Cookie安全策略比同源策略更为严格,但JavaScript依然可以通过某些方式绕过限制,如改变Cookie的Path属性。 【Flash安全策略】默认情况下,Flash应用遵循类似于同源策略的规定,仅能访问同源数据。然而,...
深入浅析同源策略和跨域访问
09-03
3. 代理服务器:通过在服务器端设置代理,将客户端的请求转发至其他源,从而绕过浏览器的同源策略。 4. window.postMessage:这是一种DOM级别的跨窗口通信方式,允许不同源的窗口之间传递消息,实现一定程度的跨域...
WEB前端安全之同源策略.pdf
07-02
然而,这种方法可能引发攻击,比如通过攻击向量长度限制绕过。 3. **JSONP (JSON with Padding)**:JSONP是一种规避同源策略的手段,通过动态插入`<script>`标签来请求不同源的数据。服务器返回的脚本会调用客户端...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
同源策略的存在使得跨域请求变得复杂,但Web开发中有一些方法绕过这种限制: 1. **JSONP (JSON with Padding)**:通过动态插入`<script>`标签,利用`src`属性请求JSON数据,服务器返回JavaScript函数调用,允许...
使用无括号的XSS绕过CSP策略研究 .pdf
09-05
标题中的“使用无括号的XSS绕过CSP策略研究”是指在网络安全领域中,攻击者尝试利用一种特殊类型的跨站脚本(XSS)攻击来规避内容安全策略(Content Security Policy,简称CSP)的防御机制。CSP是一种有效的防止XSS...
在开发机上绕过Chrome同源策略的办法
热门推荐
小米的博客
08-21 1万+
当需要用JQuery通过ajax或者get和post方法从本地加载文件或者跨域访问时,会受到Chrome严格的同源访问策略的限制绕过方法也很简单:添加Chrome启动参数即可。 如果只需要加载本地文件:参数为: --allow-file-access-from-files 如果要跨域访问,则可以干脆关闭所有安全策略,当然浏览器会提示你稳定性和安全性降低: --disable-web-s
同源策略保护了什么、如何规避同源限制
weixin_45543674的博客
03-27 5137
同源策略保护了什么、如何规避同源限制 基本照抄阮一峰的博客:浏览器同源政策及其规避方法 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它帮助阻隔恶意文档,减少可能被攻击的媒介。 例如cookie窃取,如果没有同源策略,当用户从网站a退出,进入另一个网站b时,网站b可能就拿到了用户在网站a中存储的cookie,泄露了用户的信息或伪装成用户向网站a的后端发送请求。 同源的要求:协议、域名、端口号相同 要求同源的场景: 如果不同源,以下三种行为会受到
tomcat绕过同源策略(CORS)--亲测有效
子燕若水的博客
12-11 536
您唯一要做的就是编辑全局配置文件web.xml,(位于CATALINA_HOME/conf),并添加过滤器如下: Please note, that to configure CORS filter with value *, except enabling the filer you also need to add configuration for parameter <param-name>cors.allowed.origins</param-name> as .
允许CEF跨域访问iframe
因热爱而执着,因执着而成功。
08-22 416
虽然此时,在线页面嵌入成功并显示出来了,但是,无法happy的实现父子页面的跨域访问,父页面想要调子页面的JavaScript方法,没门,子页面调父页面,没门,限制重重。根据异常消息,子页面访问的父页面的URL必须为http协议,而非file协议。既然我们用CEF,那么跟Chrome也是一般无二了,只要找到类似的设置就可以。重新启动程序,显示iframe中的在线页面,为输出原来的异常消息。来显示一个在线页面,加载的过程中会触发一个未捕获异常,默认情况下,如果嵌入本地Web页面,并在页面内部使用。
详解CORS跨域内部机制,克服浏览器同源策略
qq_37635012的博客
04-30 329
CORS跨域,它的全称是"跨域资源共享"(Cross-origin resource sharing)。 跨域案例 页面地址:http://client.cors.com:8000/greeter.html,代码如下: 服务器接口地址:http://server.cors.com:3000/data,服务器代码如下: 很明显,当页面在请求服务器接口时会发生跨域现象,如下图3所示: 我们去浏览...
Vue中的跨域,同源策略
io_123io_123的博客
03-10 2211
跨域的原因,什么是同源策略,为什么会跨域,跨域的解决方案
0x01.渗透思路篇
weixin_43263566的博客
05-10 899
0x01.渗透思路篇
浏览器同源策略及其规避方法,web后端开发框架
2301_82243539的博客
04-06 585
分享一套阿里大牛整理的前端资料给大家,点击前端校招面试题精编解析大全即可免费下载3810)][外链图片转存中…(img-OON2sKAu-1712374793811)]既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化![外链图片转存中…(img-ZaOrOmKP-1712374793811)]由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
axios.get绕过同源策略限制
06-10
使用axios发送跨域请求需要在请求头中添加`Access-Control-Allow-Origin`来允许跨域访问,但是由于这个请求头是服务器端返回的,客户端无法直接添加,所以需要通过其他方式来绕过同源策略限制。 一种常见的方法是使用JSONP(JSON with Padding)技术。JSONP是一种跨域数据请求的解决方案,它利用了script标签不受同源策略限制的特性,将需要获取的数据包装在一个回调函数中,然后通过script标签引入远程脚本,从而获取数据。 以下是一个使用axios和JSONP的示例代码: ```js import axios from 'axios'; axios.jsonp('https://h5vv.video.qq.com/getinfo', { params: { vids: vid, platform: 101001, charge: 0, otype: 'json', defn: 'sd', callback: 'jsonpCallback' } }) .then(response => { console.log(response.data); }) .catch(error => { console.log(error); }); function jsonpCallback(data) { console.log(data); } ``` 在上面的代码中,我们使用axios.jsonp()方法来发起跨域请求,并将请求的URL和参数作为参数传递给该方法。在参数中,我们需要指定一个callback参数来指定回调函数的名称,该回调函数的名称需要在服务端进行处理后返回给客户端。 在服务端处理请求时,需要根据callback参数的值将响应数据包装在一个函数中返回给客户端。例如,在Node.js中可以使用如下代码实现: ```js const callbackName = req.query.callback; const responseData = { /* 响应数据 */ }; const responseString = `${callbackName}(${JSON.stringify(responseData)})`; res.send(responseString); ``` 在客户端,我们需要定义一个与服务端返回的回调函数名称相同的函数(如上述代码中的jsonpCallback函数),该函数会在服务端返回的数据中被调用,并将响应数据作为参数传递给它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值