JavaScript(Ajax)和Cookie的同源策略

最新推荐文章于 2024-05-30 11:27:58 发布
最新推荐文章于 2024-05-30 11:27:58 发布
阅读量120 收藏
点赞数
文章标签: javascript java ViewUI

一个URL由四部分组成,拿http://blog.csdn.net/yanical来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价于http://blog.csdn.net:80/yanical)

协议:http

主机:blog.csdn.net

端口:80

路径:/yanical

所谓的同源就是要求这个URL的协议,主机,端口三部分都相同。一般我们说的域或者domain也是这里的源的概念。

对于上面的URL,有以下结果:

其他URL是否同源原因
http://blog.csdn.net/xilang/index.html
http://blog.csdn.net/yanical/othersub
https://blog.csdn.net/yanical协议,端口不同
http://blog.csdn.net:81/yanical端口不同
http://www.csdn.net/主机不同

存在一种异常情况,javascript可以通过设置document.domain来修改主机和端口部分的值,如果这样做,设置后的值就会作为同源策略检查的标准。比如对于http://blog.csdn.net/yanical和http://bbs.csdn.net/可以执行下面的javascript:

document.domain = "csdn.net";
这样后,这两个页面就是同一个源了。出于安全的考虑,不能设置为其他主domain,比如http://www.csdn.net/不能设置为sina.com

我们看到,javascript中只有主机的部分被设置了,没有提到端口的部分。事实上,在执行上面的javascript的时候,端口也被设置了,且被设置成了null值。所以,对于http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都执行上面的javascript,那么端口都被设为了null,他们也就变成同源了。

同源策略最早被用来阻止一个源的js去获取或者修改另外一个源的文档属性,这里的javascript的源指的是加载javascript的HTML页面的源,而不是javascript自己所在的源。

举个例子,有两个HTML和两个javascript。test.html包含一个iframe引用了frame.html,且他们在不同的源;test.html还引用了两个js,他们其中一个也和test.html的源不同;test.html的javascript还试图去修改frame.html。

test.html:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe>
</body>
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script>
<script language="javascript" src="http://localhost/content/samedomain.js"></script>
<script>
document.write('------write from test.html');
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='------overwrite frame from test.html';
</script>
</html>

frame.html:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
</head>
<body>
<script>
document.write('------write from frame.html');
</script>
</body>
</html>
otherdomain.js: 

document.write('------write from otherdomain.js');
samedomain.js: 

document.write('------write from samedomain.js');

我们访问http://localhost/test.html,执行结果如下:


可以看到,尽管test.html和otherdomain.js的源不同,但是因为otherdomain.js是test.html加载进来的,所以他们还是同一个源。但是test.html和frame.html就不是同一个源,浏览器阻止了修改请求。

现在同源策略还被用来判断一个XMLHTTPRequest(AJAX)是否合法,一个页面只能向同一个源的服务器发起AJAX请求。

需要注意的是,Cookie的同源策略和javascript略有不同,就是默认情况下,Cookie忽略了协议和端口,只考虑主机这一部分(端口这一部分听说可以设置,设置后就也会考虑端口,但是java api里我没看到可以设置端口的地方),所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。

关键字:Javascript, AJAX,Cookie,同源,同域,同domain


版权所有,转载请注明来源


iteye_4515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AJAX异步交互 同源策略跨域 Cookie
amuist_ting的博客
09-08 238
核心 XMLHttpRequest XMLhttpRequest对象用于与服务器交互 通过XMLHttpRequest可以在不刷新页面的情况下请求特定URL,获取数据;这允许网页在不影响用户操作的情况下,更新页面的局部内容 let xhr = new XMLHttpRequest(); --xhr.open(method, url, flag) method 请求方式 url 请求地址 --xhr.onreadystatechange 当readyState属性发生变化时触发 xhr.onr
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
浏览器同源策略Cookie的作用域
weixin_33895695的博客
09-28 81
所谓"同源"指的是"三个相同": 1.协议相同 2.域名相同 3.端口相同 当着三个地方相同才算同源 例如:http://www.example.com:8888/dir/page.html 协议是http:// 域名是www.example.com 端口是8888 采用同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去...
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 345
三、跨域的处理方式(3种)
JavaScript同源策略和跨域访问实例详解
10-18
主要介绍了JavaScript同源策略和跨域访问,结合实例形式较为详细的分析了javascript同源策略与跨域访问的原理、实现、使用方法及相关注意事项,需要的朋友可以参考下
JS实现的ajax同源策略(实例讲解)
01-19
AJAX使用Javascript技术向服务器发送异步请求; AJAX无须刷新整个页面; 因为服务器响应内容不再是整个页面,而是页面中的局部,所以AJAX性能高; jquery 实现的ajax index.html <!DOCTYPE html> <...
javascript 拖动_cookie_ajax
10-30
比较实用的js拖动效果代码。类的写法不错,是个不错的应用
深入浅析同源策略和跨域访问
11-22
 URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。  同源策略:  浏览器的同源策略限制了来自不同源的”document”或脚本,对当前”document”读取或设置某些属性。 ...
ajax同源策略 cookie携带 -- 转载备忘
yuezhilangniao的博客
02-15 143
https://blog.csdn.net/qq_34545974/article/details/100593539 $.ajax({ type: "post", //区分请求是get还是post url: '/port/FaceDynamicServer/sync/search/searchaccesslog', //请求地址 ...
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2570
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
同源策略介绍
weixin_44174581的博客
08-11 1741
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
js同源策略之共享cookie
weixin_33979203的博客
07-17 918
什么是同源 同domain(或ip),同端口,同协议视为同一个域,一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略。 为什么要有同源限制 同源策略的目的主要是为了防止恶意获取/修改网站数据。而这些数据主要包括cookie,LocalStorage,DOM,以及发送...
4:Ajax进阶(同源策略
Jdoit CW的博客
05-08 3592
同源政策 1.Ajax请求限制 Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站,A网站中的 HTML 文件只能向A网站服务器中发送 Ajax 请求,B网站中的 HTML 文件只能向 B 网站中发送 Ajax 请求,但是 A 网站是不能向 B 网站发送 Ajax请求的,同理,B 网站也不能向 A 网站发送 Ajax请求。 2.什么是同源 如果两个页面拥有相同的协议、域名和端...
前端知识库-前端安全系列二(同源策略
Candour_0的博客
02-16 174
前端知识库-前端安全系列二(同源策略
`“use strict“`在JavaScript中是什么?它背后的原理是什么?
Jerry学长
05-27 1089
JavaScript的严格模式(strict mode)是ECMAScript 5引入的一项特性。如果你在脚本或函数的顶部声明 ,你就启用了严格模式: 当JavaScript引擎看到这个指令时,它将开始以一种特殊的模式解释代码。在这种模式下,当检测到某些可能导致潜在错误的编码实践时,会抛出错误。这就是严格模式背后的基本原理。考虑下面这个例子: 开发者可能因为强迫症而对齐数值字面量,但这样会无意中使变量 初始化为八进制字面量。在非严格模式下,这将被解释为值 (十进制)。然而,在严格模式下,这样的代码会抛出错
【redis】Spring之RedisTemplate配置与使用
05-30 320
转载:Spring之RedisTemplate配置与使用用过redis,但直接使用Jedis进行相应的交互操作,现在正好来看一下RedisTemplate是怎么实现的,以及使用起来是否更加便利。
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1195
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
最新发布
山花的博客
05-30 507
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
JavaScript同源策略
07-13
JavaScript同源策略是一种浏览器安全机制,用于限制跨域请求。同源指的是协议、域名和端口号都相同,只有在同源的情况下,JavaScript才能访问其他页面的内容。 同源策略的目的是保护用户的隐私和安全,防止恶意网站通过跨域请求获取用户的敏感信息。如果一个网页试图通过JavaScript访问与自己不同源的资源,浏览器会阻止这种行为,以防止潜在的安全风险。 同源策略限制包括: 1. Cookie、LocalStorage和IndexDB等存储在浏览器中的数据无法被跨域页面访问。 2. XMLHttpRequest和Fetch等网络请求只能发送到同源的URL。 3. DOM无法跨域操作,比如无法通过JavaScript获取跨域页面的DOM元素。 4. JavaScript无法访问跨域页面的JavaScript对象和执行跨域页面的脚本。 要实现跨域请求,可以使用一些方法如JSONP、CORS(跨源资源共享)等。这些方法可以通过服务器端的设置或特殊的标记来绕过同源策略,实现跨域通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值