同源策略、跨越请求和JSONP

最新推荐文章于 2023-03-08 21:31:36 发布
最新推荐文章于 2023-03-08 21:31:36 发布
阅读量147 收藏
点赞数
分类专栏: 其他 文章标签: jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_20883/article/details/82451557
版权

1、同源策略

 

 

同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。这个策略可以追溯到 Netscape Navigator 2.0。

Mozilla 认为两个页面拥有相同的源,如果它们的协议、端口(如果指明了的话)和主机名都相同。下表给出了相对http://store.company.com/dir/page.html同源检测的结果:

URL结果原因
http://store.company.com/dir2/other.html成功
http://store.company.com/dir/inner/another.html成功
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同
http://news.company.com/dir/other.html失败主机名不同

同源策略,简单地说就是要求动态内容(例如,JavaScript或者VBScript)只能阅读与之同源的那些HTTP应答和cookies,而不能阅读来自不同源的内容。更为有趣的是,同源策略对写操作没有任何限制。

 

2、JSONP

以上同源策略是基于安全考虑的,当前域不能访问其他域的东西。但这也带来一个问题,不同域之间如何协助。

 

先看一个简单的不同源请求的例子。准备2段代码,用来模拟2个不同源的服务器,分别部署在2个不同的web容器上。为了方便,我们直接使用jquery进行异步请求,不使用原生的 XMLHttpRequest.

 

localfile.html

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
    <title></title>
    <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.5/jquery.min.js"></script>
<body>
	<script type="text/javascript">
	$(document).ready(function () {
		$.get('./sayhello.js', function(result) {});
		$.get('http://freeyun.duapp.com/jsonp/sayhello.js', function(result) {});
	});
	</script>
</body>
</html>

 

 

sayhello.js

 

alert("hello jsonp");
 

 

这两个文件同时放到一个远程的服务器freeyun.duapp.com和本机的容器localhost的容器上。

在本机访问http://localhost:8080/jsonp/localfile.html,我们只能看到一个 hello jsonp的提示框。

通过F12打开chrome流程器的调试窗口,刷新,在network一栏可以看到如下信息:

 

对于远程服务器的请求出错了。

在console栏可以看到出错信息为:

XMLHttpRequest cannot load http://freeyun.duapp.com/jsonp/sayhello.js. Origin http://localhost:8080 is not allowed by Access-Control-Allow-Origin.

这个也就是因不同源导致了一个跨域请求失败。

 

那怎么解决这个问题呢?你一定发现了刚刚我们localfile.html里对jquery的引用,script标签里src属性里的jquery路径和我们的本地服务器并不是同源的,也就是说script标签里的src属性里的路径不受同源策略的限制的。

 

 

我们修改一下localfile.html

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
    <title></title>
    <script type="text/javascript" src="http://freeyun.duapp.com/jsonp/sayhello.js"></script>
</head>
<body>
</body>
</html>

 

 重新访问localfile.html,这样依然会弹出 hello jsonp 的提示框,也就是说我们能过本地服务器访问到的远程服务器信息。

 

 

通过script标签的开放策略,抓到的资料并不是 JSON,而是任意的 JavaScript,用 JavaScript 直译器执行而不是用 JSON 解析器解析。

 JSON只是一种数据描述格式,究竟是JSONP还是其他的“XXP”、“YYP”其实只是2个不同源的服务器之间的数据交换采用什么样的格式而已。

 

 

因为跨域的请求主要是为了能从别的服务器上获取数据,那么一般在数据获取完成后本地服务器都会做相应的数据处理,所以在JSONP这种模式里,会要求把返回结果放到本地一个回调函数中,这样就能直接通过本地回调方法对数据进行加工,这也就是我们常说的JSONP模式。

 

iteye_20883
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源策略+跨域+jsonp+cors
08-29
同源策略和跨域以及解决跨域的两种方式
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞
最新发布
精品博客,你值得一看~
08-16 525
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
同源策略&CORS跨域漏洞&JSONP跨域漏洞
niqiu320的博客
04-23 405
同源策略介绍 什么是同源策略同源策略是一种约定,它是浏览器最核心的也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对 同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。 当一个浏览器的两个tab页中分别打开来百度和谷歌的页面。 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的。 即检查是否同源,只有和百度同源的脚本才会执行。 如果非同源,那么在请求数据时,浏览器会在控制台中报
浅谈同源策略漏洞及XSSCSRF
actistsec的博客
10-21 849
跨域漏洞/XSS/CSRF在蜜罐上也有相应利用点
《web应用安全》被动攻击与同源策略
weixin_42368489的博客
09-23 340
被动攻击与同源策略 浏览器针对被动攻击的防御策略--沙盒(沙盒的核心概念为同源策略) 主动攻击 指攻击者直接攻击web服务器,如SQL注入 被动攻击 单纯的被动攻击攻击者针对网站的用户设下陷阱,利用掉入陷阱的用户来攻击应用程序 恶意利用网站进行的被动攻击 利用正规网站进行的被动攻击,入侵正规网站,往其内容中嵌入恶意代码, 用户在浏览了含有恶意代码的内容后,就会感染病毒。 在正规网站中设置陷...
解决跨域的4种方案
m0_61852712的博客
10-14 3626
解决跨域的四种方案
原生js实现ajax请求JSONP跨域请求操作示例
10-15
主要介绍了原生js实现ajax请求JSONP跨域请求操作,结合实例形式分析了基于原生js实现的ajax请求JSONP跨域请求相关操作技巧与使用注意事项,需要的朋友可以参考下
jsonp
01-08
下面和大家一起探讨JSONP的知识。首先,我们需要了解一下什么是JSONP?...当发送方地址和接收方地址的传输协议,域名,端口号有一个不一样就是触发了同源策略。 解决同源策略问题,JSONP就可以大显身手了。 JSONP使用流
jsonp跨域请求实现示例
10-20
本文主要介绍了jsonp跨域请求实现示例。具有很好的参考价值。下面跟着小编一起来看下吧
js/ajax跨越访问-jsonp的原理和实例(javascript和jquery实现代码)
10-27
最近做了一个项目,需要用子域名调用主域名下的一个现有的功能,于是想到了用jsonp来解决,在我们平常的项目中不乏有这种需求的朋友,于是记录下来以便以后查阅同时也希望能帮到大家,需要了解的朋友可以参考下
Android webView安全漏洞解决
10-13
Android webView安全漏洞解决 1. 解决CVE(通用漏洞与披露)中记录WebView的4个漏洞 2.解决 WebView File域同源策略绕过漏洞 3.解决 WebView 密码存储漏洞
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 1810
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
JSONP同源策略
Clytza的博客
03-08 168
同源策略SOP(Same Origin Policy),它是由Netscape提出的一个著名的安全策略。所谓同源是指域名、协议、端口相同。指的是浏览器限制当前网页只能访问同源的接口资,禁止页面加载或执行与自身来源不同的域的任何脚本。用于保护数据安全,防止浏览器受到XSS、CSFR等攻击。
《web开发: Ajax 同源策略和跨域JSONP
yexiangCSDN的专栏
02-04 161
一、同源策略和跨域JSONP 1.什么是同源 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源 例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测:(端口号不写默认是80) 2. 什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制 通..
同源策略漏洞测试
ll18672920250的博客
03-19 4252
在对一个网站进行渗透测试的过程中,为什么我总是感觉在猜呢?是水平太低,还是本来就有很大猜的成分?求解惑!谢谢!
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8123
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
Webview File域同源策略绕过漏洞
Venscor技术养成之路
01-09 6298
一个比较老的漏洞,不能远程利用,只能通过Malicious App来攻击。一、漏洞原理1、漏洞原理  为了说明漏洞原理,这儿假设用户安装了两个App,第一个是攻击的App,即Benign App,另一个是Malicious App,也就是攻击者App。首先,由于Android沙箱机制的限制,Malicious App是不能访问Benign App的私有目录的。但是,如果Malicious App有了
我理解的回调与同源方法执行漏洞(SOME)浅析
9ian1i
12-23 1972
0x00 before以前一直对回调有些迷糊,似懂非懂,虽然能明白用法和原理,但总有些小疑问,比如,为啥偏要用回调。今天集中看了很多博客,再配合上SOME的理解,感觉收获颇多,故给大家一起分享。0x01 什么是JS的回调函数见网上有人说:函数a有一个参数,这个参数是个函数b,当函数a执行完以后执行函数b。那么这个过程就叫回调。其实并不全对,函数a执行过程中执行了函数b,那也是回调。在我觉得回调的关键
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 581
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安全策略...
什么是同源策略和非同源策略
05-24
同源策略和非同源策略是用于限制网页脚本访问其他网站资源的安全策略。 同源策略是指,如果两个网址具有相同的协议、主机名和端口号,则这两个网址属于同一个源。同源策略要求网页脚本只能访问与其来源网址同源的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值