跨域与跨站

已于 2023-06-07 10:41:36 修改
阅读量265 收藏 2
点赞数 2
文章标签: 前端 javascript ajax 跨站 跨域
于 2023-06-07 10:38:43 首次发布
原文链接:https://sugarat.top/bigWeb/browser/cros.html
版权

同源策略

浏览器有同源策略,如果两个URL的协议,域名,端口完全一致才是同源

有一个不一致就是跨域

示例

以该页面为例:https://sugarat.top/bigWeb/browser/cros.html

  • 协议:https
  • 域名:sugarat.top
  • 端口:443 (https默认443,http默认80)
URL是否同源理由
https://sugarat.top协议,域名,端口 均一致
http://sugarat.top:8080协议,端口不一致
https://sugarat.top:8080端口 不一致
https://ep.sugarat.top域名 不一致
https://imgbed.sugarat.top域名 不一致

同源策略限制

 1.DOM: 禁止操作非源页面的DOM与JS对象

     这里主要场景是iframe跨域的情况,非同源的iframe是限制互相访问的

 2.XmlHttpRequest: 禁止使用XHR对象向不同源的服务器地址发起HTTP请求,即不能发送跨域ajax请求这里主要场景是iframe跨域的情况,非同源的iframe是限制互相访问的   

     主要用来防止CSRF(跨站请求伪造)攻击

 3.本地存储: Cookie、LocalStorage 和 IndexDB 无法跨域读取

非同源也有可以通信的方案,后文会做出介绍

为什么需要同源策略🤔

这里先列举反例

例1:如果iframe可以跨域,就会有以下攻击场景

  1. 一个假网站https://a.com,内部嵌套一个全屏的iframe标签指向一个银行网站 https://b.com
  2. 用户访问假网站除了域名,别的部分和银行的网站没有任何差别
  3. 开发者可以在假网站中注入输入事件监听脚本,跨域访问https://b.com节点中的内容
  4. 此时用户的输入都能被监听到,这样假网站就拿到了用户的账号密码

这样一次攻击就完成了

例2:如果ajax可以跨域,就会有以下攻击场景

  1. 用户在银行网站https://b.com进行了登录,网站使用cookie鉴权
  2. 攻击者直接从网站https://a.com发起一个指向银行网站的攻击请求,此跨域请求会携带上目标站点上的cookie
  3. 银行服务端验证用户cookie无误,返回对应的响应数据
  4. 此时就造成了用户信息泄露,用户是无法感知到的

这样一次攻击就完成了

采用同源策略限制跨域访问,主要就是为了用户信息的安全考虑

跨域

违反同源策略就是跨域

影响

最常见的两种跨域场景就是

  • ajax跨域
  • iframe跨域

跨域示例

ajax跨域

执行下面代码会在开发者工具中的 Console面板看到以下错误信息

Access to fetch at 'https://ep.sugarat.top/' from origin 'http://127.0.0.1:5500' has been blocked by CORS policy:
No 'Access-Control-Allow-Origin' header is present on the requested resource. 
If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

<body>
    <button id="btn">click me</button>
    <script>
        const $btn = document.getElementById('btn')
        $btn.onclick = function () {
            fetch('https://ep.sugarat.top/', {
                method: 'get'
            })
        }
    </script>
</body>

iframe跨域

无法跨域访问iframe中的DOM元素信息

<body>
    <iframe src="https://sugarat.top/" width="100%" height="1000px" frameborder="0"></iframe>
        
    <script>
        const iframe = document.getElementsByTagName('iframe')[0]
        console.log(iframe.contentWindow.document.children[0].outerHTML)
        // <html><head></head><body></body></html>
    </script>
</body>

跨站

Cookie与此息息相关,Cookie实际上遵守的是“同站”策略

什么是同站

只要两个 URL 的 eTLD+1 相同即是同站,不需要考虑协议和端口

eTLD: (effective top-level domain) 有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,如.com.co.uk.github.io,.top

eTLD+1: 有效顶级域名+二级域名,如 taobao.com,baidu.com,sugarat.top

tips: 这里的一级,二级域名主要指计算机网络中规定的,与通常业务开发中所指的一二级域名有些许差异

还以该url为例:https://sugarat.top/bigWeb/browser/cros.html

  • eTLD: .top
  • eTLD+1: sugarat.top
URL是否同站理由
sugarat.topeTLD+1一致
ep.sugarat.topeTLD+1一致
ep.sugarat.top:8080eTLD+1一致
baidu.comeTLD 不一致

只要eTLD+1不同就是跨站

对Cookie的影响

因为Cookie遵循的是同站策略,很多网站都是把一些权限,用户行为,主题,个人的配置信息

所以很多网站会把这些信息存在二级域名下,即让其子域名能够共享这些配置,鉴权信息

以taobao举例

打开 taobao.com,可以看到其cookie有

我们在 ai.taobao,com下也可看到这些cookie

预检请求

使用后端开启CORS解决跨域的方式,浏览器会把请求分成两种类型

  • 简单请求
  • 复杂请求

简单请求

触发简单请求的条件

1.请求方法仅限于:

  • GET
  • HEAD
  • POST

2.Content-Type仅限于:

  • text/plain
  • multipart/form-data
  • application/x-www-form-urlencoded

复杂请求

非简单请求的即为复杂请求↓

对于复杂请求,首先会发起一个预检请求,请求方法为options,通过该请求来判断服务器是否允许跨域

与预检请求有关的以Access-Control-开头的响应头:

  • Access-Control-Allow-Methods:表明服务器支持的所有跨域请求的方法
  • Access-Control-Allow-Headers:表明服务器支持的头信息
  • Access-Control-Max-Age:指定本次预检请求的有效期,单位为秒,在此期间,不用再重新发型新的预检请求
lgq2016
关注
iframe跨域与session失效问题的解决办法
10-26
在探讨如何解决iframe跨域与session失效的问题之前,我们需要了解几个重要的概念:什么是跨域,什么是session以及cookie。 首先,跨域问题通常出现在Web应用中,尤其是在使用iframe嵌入第三方网内容时。在Web技术...
跨域跨站
zhanlijuan
02-18 1243
一、概念 术语 解释 备注 跨域 两个 URL 的“协议+主机名+端口”3者只要有一个不一致 http://www.taobao.com/和https://www.taobao.com/ 跨站 两个 URL 的 eTLD+1 不相同 a.github.io 和 b.github.io eTLD effective top level domain (有效顶级域名) .com、.co.uk、.github.io eTLD+1 有效顶级域名+二级域名 taobao.com 特别说
跨站跨域的区别;前端多种跨域方式
weixin_50464560的博客
08-13 3422
一、跨域的由来(前端多种跨域方式)          跨域大家都不陌生,跨域是为了克服浏览器的同源策略。但可能对浏览器为什么会出同源策略有些陌生。这里先简单介绍跨域的由来。         浏览器的同源策略是为了限制CSRF攻击,因为我们有些场景确实需要,访问不同域名下的资源,所以需要跨域。所以就出现了各种跨域的方式,如JSONP、CORS、H5的postMessage、N...
跨站跨域的区别
qq_17335549的博客
01-02 1142
Cookie 的同源主要用于防止CRSF,Cookie的校验较宽松,Cookie只关注域名,忽略协议和端口,只要两个 URL 的 eTLD+1 相同即可【顶级域名+1】,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.co、.uk、.github.io 等。所以跨站即:两个URL顶级域名和二级域名不同就是跨站(也称第三方(Third-party)),相同则是同本方(First-party)
同源、跨域跨站、SameSite与withCredentials
Super_Tyr的博客
03-06 4756
系统性梳理前端同源策略、跨域解决方案CORS、Cookie的安全策略,最后总结不同场景的跨域跨站问题解决方法。
跨站(cross-site)、跨域(cross-origin)、SameSite与XMLHttpRequest.withCredentials
EmotionComputer
12-01 2021
跨域,注意是浏览器设置的同源策略,是在浏览器端限制的,也就是在当前域名下发送的xhr请求是否和当前域名同域。 如果跨域了,可以通过设置Access-Control-Allow-Origin来解决跨域; 如果是同域,则cookie自动被带上,如果是跨域,则需要设置withCredentials(chorme浏览器94以前的版本); 如果是在启明星里执行console.log(window.location),则打印的是启明星的location。 同域下不一定能携带cookie??这好像还和samesite有关
理解「跨域(源)」和「」的差异与联系
最新发布
零一魔法
04-24 808
理解「跨域(源)」和「」的差异与联系。
详解WebSocket跨域问题解决
09-22
不仅如此,Socket.io还提供了一些重要的功能,比如自动重连、二进制消息处理以及浏览器兼容性。它还能够在不支持WebSocket的旧版浏览器上模拟WebSocket通信。 在项目中遇到JavaScript跨域问题时,可以通过特定的...
详解JavaScript跨域总结与解决办法
10-21
同源策略规定,JavaScript只能访问与自身URL协议、域名和端口完全一致的网页资源。这一策略限制了恶意脚本对不同源的网页进行恶意操作,保障了用户数据的安全。 跨域的几种常见情况包括: 1. 不同域名:如...
session跨域服代码延时
08-26
session跨域 代码里有a.com,b.com两个 请选设好虚拟主机。两个 访问a.com的a.php设过session 访问一下b.com看一下有没有获取到a.com设过的session 代码简单。主要是思路
IE8 引入跨站数据获取功能说明
09-06
在IE8中,微软引入了一项重要的新特性,即跨站数据获取功能,这主要通过XDomainRequest对象实现。在之前,由于同源策略的限制,XMLHttpRequest对象无法在不同的域之间发送请求,这对于需要在多子域之间共享数据的...
谈谈对跨域源)的一些理解
weixin_45092437的博客
11-21 1286
我们讲了这么多的跨域的解决方案,但我们不得不思考这样一个问题:浏览器为什么要设置这么一道障碍?几乎所有人都知道答案,那就是为了安全。可这个安全是为了谁? 有人说是为了浏览器的安全,避免恶意脚本的执行,对客户端造成损害,但这是片面的。 也有人说是为了服务端的安全,避免服务器被攻击,但通过抓包可以发现,当出现跨域时,其实服务端的数据已经完整返回了,也就是说其实服务器对于跨域并不知情,所以这种说法也是片面的。 其实跨域真正的意义是为了保护**数据资源**的安全,例如:图片、字体、音视频、css、js等等。
django csrfMiddleware的一些理解&跨站跨域
General_zy的博客
11-05 698
但是需要注意的是,仅仅依靠跨域请求的限制是不够的,因为攻击者可能通过其他手段窃取到用户的Cookie信息,例如使用钓鱼网欺骗用户输入用户名和密码等敏感信息,从而获取用户的Cookie。但是需要注意的是,这种限制仅仅是在浏览器层面上生效的,如果攻击者使用其他方式(例如在服务器端发起跨域请求)绕过了浏览器的限制,则依然可能窃取到用户的Cookie信息,造成安全威胁。因此,在开发时应该采取多种措施,例如限制Cookie的作用域、使用安全的传输协议(如HTTPS)、对Cookie进行加密等,来保护用户的安全。
跨站跨域、cookie注入
Trifling_的博客
08-07 1904
简述 之前对cookie相关知识一直零零碎碎,最近工作中遇到些点相关问题,于是又整体重新梳理了一面,算是一个总结。 本章主要介绍如何跨域跨站注入cookie,以及踩过过的一些。 文章所用到的URL说明 http://dev.proxy.com:3000/ 浏览器访问URL http://dev.fws.proxy.com:3001/跨域接口URL http://dev.other.com:3001/跨站接口URL 概念 跨站(cross-site):两个 URL 的 eTLD+...
Cross-Origin跨站问题详解(跨站请求、跨站cookie)
weixin_42815846的博客
11-11 2019
为什么我的前后端都是localhost,却还是被当作所谓的cross-origin跨站?我设置了same site为none,这样就允许cross origin的cookie,但是cross origin的cookie还要求secure,不仅仅是要把secure改成true,还要使用https,不然cookie会被浏览器自动block,但我现在正在开发,并没有到上线的程度,所以还不想申请SSL/STL证书,但是还没有找到如何让chrome不要使用这么strict的policy。也配置了session。
防御XSS的七条原则
收集盒 Book box
09-06 1028
前言 author: shineforyou 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依
跨域访问的问题
m0_73896875的博客
07-12 196
(1)Host:表示当前请求要被发送的目的地host,仅包括域名和端口号。在任何类型请求中,request都会包含此header信息。(2)Referer:Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。它由协议+域名+查询参数组成(注意不包含锚点信息),所有类型的请求都包含此header。
nginx跨域配置
weixin_30783913的博客
04-17 173
首先,贴上nginx work的配置 server{ listen 8099; server_name wdm.test.cn; location / {   // 没有配置OPTIONS的话,浏览器如果是自动识别协议(http or https),那么浏览器的自动OPTIONS请求会返回不能跨域   if ($request_method = OPTI...
讲清楚同源、源、同跨站
YopenLang的博客
01-20 4385
鹏哥儿最近重新回顾了一下XSS(Cross Site Script)和CSRF(Cross Site Request Forgery),又联系到cookie的同源策略(Same-origin policy),发现自己对**源**(origin)和****(site)有些混淆,所以找了篇优秀的文章:*Understanding "same-site" and "same-origin"*,来对两者加以区分。............
Ajax跨域详解与示例
AJAX(Asynchronous JavaScript and XML)通常用于在不刷新整个页面的情况下与服务器交换数据并更新部分网页内容,但受同源策略约束,AJAX请求同样受到跨域限制。不过,有一些技术可以绕过这些限制,其中最常用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值