同源策略

web浏览器包含了JavaScript解释器,也就是说一旦载入Web页面,就可以任意的js代码在计算机里执行。存在安全隐患。对此做出限制。

1.第一条防线:客户端js没有权限写入或删除客户计算机上的任意文件或列出任意目录。意味着js程序不能删除数据或植入病毒。

2.第二条防线:在自己支持的某些功能上施加限制。

a.js程序可以打开一个新的浏览器窗口,但是为了防止广告↑滥用弹出窗口,很多浏览器限制了这一功能,只有为了响应鼠标事件单击这样的用户出发事件才能使用。

b.js程序可以关闭自己打开的浏览器窗口,但是不允许它不经过用户确认就关闭其他窗口。

c.HTML FileUpload元素的value属性是只读的。如果可以设置这个属性,脚本就能设置它为任意期望的文件名,从而导致表单上传指定文件的内容到服务器。

d.脚本不能读取从不同服务器载入的文档内容,除非这个就是包含该脚本的文档。为了防止脚本窃取其他页面用户输入。

同源策略是对JavaScript代码能够操作那些Web内容的一条完整的安全限制。

脚本只能读取和所属文档来源相同窗口和文档的属性。

恶意脚本可能会打开一个空的窗口,欺骗用户进入并使用这个窗口在内网上浏览文件。恶意脚本就能够读取窗口的内容并将其发送回自己的服务器。

不严格的同源策略:为了支持多域名站点(order.example.com/catalog.example.com),可以使用Document对象的domain属性。默认情况下,属性domain存放的是载入文档的服务器主机名。 初始值字符串设置为example.com。另一种技术,叫跨文档消息,允许来自一个脚本可以传递文本消息到另一个文档里的脚本,不管脚本的来源是否不同。调用Window对象上的postMessage()方法。

跨站脚本,也叫XSS,这个术语用来表示一类安全问题,攻击者向目标web站点注入HTML标签或者脚本。防止XSS攻击是服务器端web开发者一项基本工作。

更暴力的攻击:拒绝服务攻击。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值