同源策略与cors跨域及jsonp劫持

已于 2022-05-31 19:17:46 修改
阅读量820 收藏 2
点赞数 1
文章标签: web安全 面试 json
于 2022-05-31 17:20:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j1044957016/article/details/125064503
版权

文章目录

前言

本文整理同源策略,Ajax,cors跨域及jsonp劫持

一、同源策略

同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改)
浏览器的同源策略规定: 不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。

二、Ajax技术

Ajax 全称 Asynchronous JavaScript + XML,即异步 JavaScript 和 XML。AJAX 本身不是一种新技术,而是用来描述一种使用现有技术集合/标准的新方法,包括:HTML or XHTML、Cascading Style Sheets、JavaScript、The Document Object Model、XML、XSLT 以及 XMLHttpRequest object。AJAX 允许只更新一个 HTML 页面的部分 DOM,而无须重新加载整个页面, 网页应用能够快速地将增量更新呈现在用户界面上,而不需要重新加载整个页面。这使得程序能够更快地回应用户的操作。
(因为json的轻量化以及作为javascript中的一部分,目前json使用比xml更多,两个都被用于Ajax中打包信息)

三、CORS跨域

有些网站由于自身业务的需求,需要实现一些跨域的功能能够让不同域的页面之间能够相互访问各自页面的内容。常见需要跨域的业务场景如下:

1.前端需要调用后端开发的功能接口,前后端分离情况下,域名不一致,会发生跨域访问的问题;
2.需要发送ajax请求,请求另一个页面的内容,其不在同一个域下时,会发生跨域问题;
3.加载第三方网站信息时;
4.子域名需要调用主域名的接口,显示内容时。

CORS 是 H5 提供的一种机制,WEB 应用程序可以通过在 HTTP 报文中增加特定字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源。

跨域分为两类,简单请求与非简单请求。
满足以下两个条件属于简单请求否则属于非简单请求:
1.请求方法是HEAD GET POST 三种之一;
2.HTTP头信息不超过(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。
主要按照请求放大进行判断。

1.简单请求

对于简单请求,浏览器发现这一次向服务器提交的请求时简单请求,所以自动

最低0.47元/天 解锁文章
君倾辞兮
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程
代码讲故事
12-03 1469
实战分析和精华总结:CORS跨域资源共享漏洞数据劫持、复现、分析、利用及修复过程。 CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。
跨域资源共享 CORS 详解
weixin_34365417的博客
04-19 2243
跨域资源共享 CORS 详解作者:阮一峰日期:2016年4月12日CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。本文详细介绍CORS的内部机制。(图片说明:摄于阿联酋艾因(Al Ain)的绿洲公园)一、简介...
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
JSONP劫持
qq_58000413的博客
03-11 432
主要区别就是 JSONP 只能发起 get 请求,而 CORS 可以发起任何请求。简单的说就是利用标签来拿到A用户在其他网站的信息(json)。面试问题:CSRF的两种方法中,CORSJSONP的区别?JSONP出现是为了解决还没有出现同源策略而出现的,是使用。来实现的当然还可以使用其他的方法。接下来我们来介绍JSONP。首先我们提前了解下JSONP
浅谈CSRF跨域读取型漏洞之JSONP劫持
记录学习,一起进步
03-06 840
CSRF跨域读取型漏洞之JSONP劫持
深入了解CORS数据劫持漏洞
weixin_43025534的博客
05-17 1555
CORS(跨源资源共享)是一种用于在Web应用程序中处理跨域请求的机制。当一个Web应用程序在浏览器中向不同的域(源)发起跨域请求时,浏览器会执行同源策略,限制了跨域请求的默认行为。同源策略要求Web应用程序只能访问与其本身源(协议、域名和端口)相同的资源。然而,在某些情况下,我们希望允许来自其他源的跨域请求,例如使用AJAX进行跨域数据访问或在前端应用程序中嵌入来自不同域的资源(如字体、样式表或脚本)。这时就需要使用CORS来解决跨域请求的限制。CORS通过在服务器端设置响应头来进行配置。
WEB前端安全同源策略.pdf
07-02
这个策略主要是为了保护用户信息不被恶意网站窃取,通过限制JavaScript只能访问与当前页面同源(即协议、域名和端口均相同)的网页资源,防止不同源之间的DOM数据污染。在同源策略下,如果两个页面的协议、域名或...
JavaScript跨域方法汇总
10-25
12. **SOP(Same-Origin Policy)漏洞利用**:在某些特定情况下,如XSS(跨站脚本攻击)或点击劫持,可以通过绕过同源策略实现跨域。但这属于安全漏洞利用,不应在正规开发中使用。 以上12种方法各有优缺点,开发者...
SRC挖掘经验-cors劫持账户.docx
04-13
CORS mechanism 是为了解决浏览器的同源策略问题,即一个域名下的网页无法访问另一个域名下的资源。 在 CORS 机制中,服务器端需要在响应头中增加 Access-Control-Allow-Origin 字段,以指定允许访问的源。例如: ...
java跨域单点登录实现
01-28
这可以通过设置CORS(Cross-Origin Resource Sharing)策略或者使用JSONPJSON with Padding)来实现。 5. **票据验证**:用户在CAS Server登录后,会得到一个票据,这个票据需要在访问其他应用时传递并验证。验证...
跨域共享session (实现http跳转https 共享session)
07-13
通常,由于浏览器的安全策略,不同源的Web应用程序之间不能共享Cookie,其中包括用于存储session信息的Cookie。但是,为了提供更好的用户体验,特别是在单点登录(Single Sign-On, SSO)场景下,跨域共享session变得...
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
qq_50854662的博客
01-04 5984
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
Jsonp&Cors跨域同源策略跨域劫持漏洞)
最新发布
精品博客,你值得一看~
08-16 721
CORS跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
CORS-跨域资源共享
Ciao's blog
11-12 358
项目搭建初期常见的跨域问题
CSRF 跨站请求伪造及CORS跨域资源共享漏洞修复案例
Endeavour的博客
06-12 6910
跨站请求伪造(CSRF):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理:用户C访问正常网站A时进行登录,浏览器保存A的cookie;用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数...
CORS(跨站资源共享)介绍
测试
12-03 532
起因 有同学在nginx站点配置中加了一行Access-Control-Allow-Origin *,导致微信中业务数据异常,抓包看http头有两个Access-Control-Allow-Origin字段,一个是站点自己的域名,一个是*。 为了实现跨域资源访问,在代码和nginx配置中都加了Access-Control-Allow-Origin字段,但是浏览器有个原则,如果有两个Acc...
跨域资源共享漏洞
qq_43504327的博客
03-15 545
CORS跨域资源共享
CORS跨域资源共享
多喝i热水的博客
09-07 234
目录 一、同源策略 二、跨域的判定 三、配置服务器实现跨域传输 四、CORS跨域漏洞验证 五、参考文献 一、同源策略 同源指的是域名(或IP),协议,端口都相同,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 同源的判定 以http://www.example.com/dir/page.html为例,以下表格指出了不同形式的链接是否与其同源 链接 结果 原因 http://www.example.com/..
Springboot后端CORS跨域资源共享
comecny的博客
08-16 623
跨域
Ajax跨域解决方案:JSONPCORS与代理请求
Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求时只能与同一域名下的资源进行交互。如果尝试访问不同源的资源,就会触发跨域问题,导致请求失败。 ### Ajax跨域的原理 浏览器的同源策略是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值