同源访问与cookie

最新推荐文章于 2024-01-19 22:48:28 发布
最新推荐文章于 2024-01-19 22:48:28 发布
阅读量385 收藏
点赞数
分类专栏: javascript 文章标签: 脚本 jsonp Scheme SNS JavaScript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_4865/article/details/81962458
版权

起因:


  组件采用很常见的无刷新上传文件 方式,但在某处应用一直抛出异常:permission denied 以及 domain 相关的错误,仔细排查原来是调用页面设置了 document.domain ,借此机会总结下。



同源策略:


  每个页面都包含两个概念:origin(源)以及 effective script origin


   origin:


有三个组成部分约束,协议scheme,host,port,形成三元组,两个不同源比较正是比较这三个部分。( host 间是完全比较,子域名间相互包含也认为不相同而不能互相访问)


   effective script origin:


默认和 origin 一样,但是可以经由 document.domain 设置 host 与 port 部分,并且一旦设置, port 部分会变成特殊值:"manual override" ,这个值除了和"manual override"相同外不和其他任何值相同。但是要注意的是


1. domain 只能设宽泛,比如页面 xx.iteye.com 的domain可设置为 iteye.com ,但是不能互逆,并且设置只能越来越宽泛,一旦页面 y.xx.com 设置了 xx.com 那么这个页面就再也不能重新设置 domain 为 y.xx.com.

 

2. 对于国际化域名,domain 不能设置太宽泛,比如 xx.javaeye.co.us 的最多可设 javaeye.co.us,而不能是 co.us

 

3. 共享域名的情况要特别注意,最好不要设置domain,否则xx.com 可能会被 xx.com:8080 的页面访问,引发同源保护失效(设置了domain,port就变成"manual override"!).


页面互访规则:


两页面能够互相访问正是比较两个 effective script origin 是否相同,相同的话则可以互相访问,比如 主页面嵌入了一个同一个域名下的子页面,那么如果主页面设置了 document.domain ,那么子页面也必须设置相同的值,否则两者就不能互相通信了,这也正是开头场景遇到的问题。

 

demo @ google code

解决:


对于开头的错误,原先可能 server 端只需返回:

 

{"url":"http://xx/y.jpg"}
 

我们只需访问 iframe.contentDocument.body.innerHTML 来访问浏览器 parse 好的内容,而如果主页面设置了 domain :

 

document.domain='xx.com';
 

那么server 现在需要返回的 iframe 内容需要加入对应的设置相同 domain 脚本:

 

<html>
<head>
<script>
    document.domain="xx.com";    
</script>
</head>
<body>
{ "url":"http://xx.com/sns_album/i3/y.jpg"}
</body>
</html>
 

将脚本单独放在 head 中和 body 分开,则仍然可以取 body 内容,否则脚本会和 body 混合在一起。


延伸:


由于 XHR 也会受到同源策略的影响:

 

y.xx.com 页面不可以发送 xhr 请求给 xx.com ,但是如果在 y.xx.com 设置 domain=xx.com ,就可以发了 (当然仍然可以给 y.xx.com 发送接收 xhr),但是无论怎么设都不可以往 z.xx.com 发送请求,因为 domain 只能设置当前页面 hostname 的后缀!

 

 

另一方面 XHR 作为数据传输技术,没法执行 domain 设置脚本,不过有人已经实现了通过设置 domain 的iframe作为中转层进行通信 , KISSY io 也对此进行了支持。推荐比较简单的替代方案为:JSONP

 

Cookie

 

但是同源策略却和 cookie 完全没有关系, cookie 是自己独立的一套规则 (甚至和访问的 port 端口都没有关系):


0. 注意 cookie 总大小(4k)以及个数(20) 的所有浏览器支持的极端限制


1. 通过服务器 Set-Cookie 或客户端 document.cookie= 进行添加,如果添加后,


 1.1 当前页面的cookie(本host以及host后缀域)总大小 (name=value;串)大于 4096 byte 则添加无效。


 1.2 当前添加域的cookie个数超过上限,添加无效 


通过设置 expire 小于当前事件来控制 cookie 删除.如果不设置 expire,则该 cookie 为 session cookie,浏览器关闭后自动删除。

2. 访问一个页面前,首先列出当前 host 下以及当前 host 的后缀系列下设置的 cookie 列表


3. 对 2 的列表进行循环过滤


   3.1 path 是当前页面的 path 的前缀,进入 3.2 ,否则不发

   3.2 secure == true 并且 页面不是 https ,不发,否则进入 3.3

   3.3 按照 host 以及 path,越特殊的越靠前,(选取个数上限的cookie ? 不确定 !),以name=value;拼成字符串,发送往服务器,(根据 1.1 这个串不大于 4096 byte)

 

reference :


same origin w3 规范


document.domain @ MDC


Same_origin_policy_for_JavaScript @ MDC


Same-origin policy for file: URIs @ MDC


About Cross-Frame Scripting and Security @ MSDN


How to make XMLHttpRequest calls to another server in your domain @ ajaxian

 

 

 

 

 

iteye_4865
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源访问策略和跨域问题
m0_63070387的博客
01-15 389
关于同源访问策略和跨域问题
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 1018
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
同源访问策略
m0_53842576的博客
09-21 72
如果它们之间有任何一个不同,就被认为是不同源的。同源策略的存在有助于防止跨站点脚本攻击(Cross-Site Scripting,XSS)和跨站点请求伪造攻击(Cross-Site Request Forgery,CSRF),因为它限制了不同源之间的互动,减少了攻击的可能性。要使不同源的网页能够互相交互,通常需要使用一些技术来绕过同源策略,如跨域资源共享(CORS)和服务器代理。:XMLHttpRequest 和 Fetch API 通常受到同源策略的限制,不同源的网页不能直接进行跨域的Ajax请求。
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6579
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机中,尤其是在网络应用中,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2766
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
同源策略以及cookie安全策略
08-29
HttpOnly属性可以防止JavaScript访问Cookie,从而减少Cookie被篡改或窃取的风险。然而,尽管Cookie安全策略比同源策略更为严格,但JavaScript依然可以通过某些方式绕过限制,如改变Cookie的Path属性。 【Flash安全...
JavaScript同源策略和跨域访问实例详解
10-18
同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,JavaScript才能访问和操作该页面的DOM、Cookie、localStorage等敏感信息。这一策略有效地防止了恶意...
cookie访问限制ip
09-16
这样,只有与指定IP地址匹配的客户端才能访问这个Cookie。 然而,这种方法并非完美无缺,因为它依赖于JavaScript在客户端运行,而恶意用户可能会禁用或绕过JavaScript。此外,它不适用于跨域设置Cookie,因为浏览器...
关于Iframe如何跨域访问Cookie和Session的解决方法
10-27
本文主要探讨如何解决Iframe跨域访问Cookie和Session的问题。 首先,理解跨域访问的基本概念。在Web浏览器的安全策略中,同源策略(Same-origin policy)禁止了一个源(协议+域名+端口)的文档或脚本直接获取另一个...
Ajax跨域访问Cookie丢失问题的解决方法
10-20
然而,在实现跨域访问时,通常会遇到Cookie丢失的问题,这是由于浏览器的同源策略所导致的。本文将详细介绍解决Ajax跨域访问Cookie丢失问题的方法。 首先,我们需要了解什么是同源策略。同源策略限制了来自不同源...
cookie 同源
SY199505的博客
09-06 1152
同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。 同源一定是同协议,同域名,同端口,只要其中一个条件不满足就是不同源的。 资源不仅 包括web页面,也包括cookie。http消息头,dom树等 不同源的话是不能读对方的cookie的。 cookie的重要字段[name][value][domain][path][expires][http
同源限制及解决方案
weixin_40252368的博客
12-08 1370
这里写自定义目录标题什么是同源?新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 什么是同源? 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇
Cookie同源策略
最新发布
Nanki_的博客
01-19 727
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
浏览器同源策略及Cookie的作用域
热门推荐
大鹏
11-25 1万+
如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。 一、    浏览器同源策略 1.1   概述        1995年,同源政策由 Netscape 公司引入浏览器
理解同源策略和解决跨域问题
yang1234567898的博客
04-06 2801
1、什么是同源策略 简单来说,就是域名、协议、端口相同,即为同源同源策略是一种浏览器安全策略,规定JavaScript能读取哪些web网站的内容,从而保护网站的数据不被其他网站读取。保护用户在使用浏览器访问网站时,B网站不能读取用户存储在A网站的数据。 2、同源策略的目的 举个简单的例子: 当我们使用浏览器去访问A网站时,如果是第一次登录需要输入账号密码,为了方便下次访问,而不需要输入账号密码,服务端会给我们返回一个凭证——cookie,当前浏览器就会将这个凭证存起来,当我们下次再用这个浏览器
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3357
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
同源、跨域、cookie\seesion\token学习笔记
不想当脚本小子的脚本小子
01-22 476
同源:如果两个页面的协议(如https和http),端口(如80和80)和域名都相同,则两个页面具有相同的源。——一种安全机制。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如防止CSRF 如果非同源,就会有三种行为受到限制: 1) Cookie、L
Cookie同源政策与跨越资源共享CORS
qq_40265247的博客
06-23 667
Cookie具有不可跨域名性 Cookie依然遵循同源政策,只有用服务器域名设置的Cookie才会上传,其他域名的Cookie并不会上传。Google与Baidu的域名不一样,因此域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。 domain属性决定运行访问Cookie的域名,而path属性决定允许访问Cookie的路径 Cookie cookie = new Cookie("time","20080808"); // 新建Cookie cookie.set
Cookie机制
恰巧喜欢的博客
11-15 573
Cookie 是服务器发送到用户浏览器并保存在本地的一小部分文本信息,格式为 key/value的形式,由用户(客户端)浏览器暂时或永久保存。它会在浏览器下次向同一服务器再发起请求时被携带(请求头中)并发送到服务器端。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值