js同源策略

最新推荐文章于 2024-01-22 08:00:00 发布
最新推荐文章于 2024-01-22 08:00:00 发布
阅读量1.6k 收藏 3
点赞数 2
分类专栏: javascript http 文章标签: 同源政策 跨域 跨域解决办法 JSONP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37686205/article/details/88555590
版权

含义:

浏览器安全的基石是“同源政策”(same-origin policy)“,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是”三个相同“。

同源条件:

  1. 协议相同
  2. 域名相同
  3. 端口相同

举例:http://www.example.com/dir/page.html 这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略),它的同源情况如下。

  • http://www.example.com/dir2/other.html:同源(协议,域名,端口都相等)
  • http://example.com/dir/other.html:不同源(域名不同)
  • http://v2.www.example.com/dir/other.html:不同源(域名不同)
  • http://www.example.com:81/dir/other.html:不同源(端口不同)
  • https://www.example.com/dir/page.html:不同源(协议不同)

同源的目的:

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据

案例:设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的机器上设置了一个 Cookie,包含了一些隐私信息(比如存款总额)。用户离开 A 网站以后,又去访问 B 网站,如果没有同源限制,B 网站可以读取 A 网站的 Cookie,那么隐私信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。

所以源政策是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。

非同源的限制范围:

随着互联网的发展,同源政策越来越严格。目前,如果非同源,共有三种行为受到限制。

  1. 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。
  2. 无法接触非同源网页的 DOM。
  3. 无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应)。

跨源通信方法:

同源政策规定,AJAX 请求只能发给同源的网址,否则就报错。除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个同源政策。

  • JSONP
  • WebSocket
  • CORS

JSONP:   

JSONP 是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老式浏览器全部支持,服务端改造非常小。

JSONP的基本思想:网页通过添加一个<script>元素,向服务器请求 JSON 数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

首先,网页动态插入<script>元素,由它向跨源网址发出请求。

代码为:

function addScriptTag(src) {
  var script = document.createElement('script');
  script.setAttribute("type","text/javascript");
  script.src = src;
  document.body.appendChild(script);
}

window.onload = function () {
  addScriptTag('http://example.com/ip?callback=foo');
}

function foo(data) {
  console.log('Your public IP address is: ' + data.ip);
};

上面代码通过动态添加<script>元素,向服务器example.com发出请求。注意,该请求的查询字符串有一个callback参数,用来指定回调函数的名字,这对于 JSONP 是必需的。 

接着,服务器收到这个请求以后,会将数据放在回调函数的参数位置返回。

代码如下:

foo({
  "ip": "8.8.8.8"
});

由于<script>元素请求的脚本,直接作为代码运行。这时,只要浏览器定义了foo函数,该函数就会立即调用。作为参数的 JSON 数据被视为 JavaScript 对象,而不是字符串,因此避免了使用JSON.parse的步骤。

WebSocket: 

WebSocket 是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀。该协议不实行同源政策,只要服务器支持,就可以通过它进行跨源通信。

案例:浏览器发出的 WebSocket 请求的头信息

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com

上面代码中,有一个字段是Origin,表示该请求的请求源(origin),即发自哪个域名。

正是因为有了Origin这个字段,所以 WebSocket 才没有实行同源政策。因为服务器可以根据这个字段,判断是否许可本次通信。如果该域名在白名单内,服务器就会做出如下回应。

HTTP/1.1 101 Switching Protocols
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
Sec-WebSocket-Protocol: chat

CORS: 

CORS 是跨源资源分享(Cross-Origin Resource Sharing)的缩写。它是 W3C 标准,属于跨源 AJAX 请求的根本解决方法。相比 JSONP 只能发GET请求,CORS 允许任何类型的请求。

cors详细介绍见:http://javascript.ruanyifeng.com/bom/cors.html

 

 

 

 

 

阳光下的冷静
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript中同源策略的概念与相关应用注意事项,需要的朋友可以参考下
JavaScript同源策略跨域访问实例详解
10-18
JavaScript同源策略跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
JavaScript 同源策略跨域
Jackson_Mseven的博客
04-07 135
同源策略:url 的 协议、IP、端口都相同。跨域同源策略不满足。:天然允许跨域加载资源。
深入理解WebSocket协议
zhuhuitao
03-17 3380
既然提到了跨域,我们还是先弄清什么是跨域。在了解什么是跨域的时候,我们首先要了解一个概念,叫同源策略,什么是同源策略呢,就是我我们的浏览器出于安全考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。是什么意思呢,就比如你刚刚登录了淘宝买了东西,但是你现在又点进去了另外一个网站,那么你现在的淘宝账户是属于登录状态,而并没有登出,所以你现在点进去的这个网站可以看到你的账户信息,并操作你的账户信息,这样子就很危险。我们再来了解一个概念,就是本域,什么是本域呢?
什么是javascript的同源策略
最新发布
zz_ll9023的博客
01-22 502
同样地,如果一个页面从http://example.com加载,并且尝试执行来自http://subdomain.example.com的JavaScript代码,浏览器也会阻止这种行为,因为主机名不同。如果一个页面从http://example.com加载,并且尝试执行来自https://example.com的JavaScript代码,浏览器会阻止这种行为,因为协议不同。假设有两个网站,一个是http://example.com,另一个是https://example.com。
浏览器安全之同源策略
xxx
06-28 1302
明确定义集成系统之间的接口和端点。确定HTTP请求和响应的格式,包括使用的数据编码格式(如JSON或XML),以及请求和响应的头部信息。定义HTTP的接口,首先应该确定接口功能和目标,明确接口的目的和提供的功能。确定接口所要实现的业务逻辑或服务,并理解它在整个系统中的角色和作用。然后选择HTTP方法和端点,根据接口的功能,选择合适的HTTP方法(如GET、POST、PUT、DELETE等)来表示接口的操作类型。同时,定义接口的端点(Endpoint),即接口的URL路径,例如:/api/users。
JavaScript基础--同源策略跨域及解决方案
weixin_50909662的博客
11-01 381
同源策略 概念: 同源策略是浏览器的一个安全功能,不同源的网页脚本在没有明确授权的情况下,不能读写对方资源,所谓同源是指"协议+域名+端口"三者相同。 跨域 概念: 使用AJAX技术(XMLHttpRequest 对象),从一个网页去请求另一个网页资源时,违反浏览器同源策略限制,引起的安全问题,称为跨域。 ①域名: 主域名不同 http://www.baidu.com/index.html –>http://www.sina.com/test.js ...
深入浅析同源策略跨域访问
11-22
1. 什么是同源策略   理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则...
什么是JavaScript 的同源策略
愚公的博客
11-23 1177
概念: 同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议,指一段脚本只能读取来自同一来源的窗口和文档的属性。 为什么要有同源限制: 我们举例说明:比如一个黑客程序,他利用Iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过Javascript读取到你的表单中in
js同源策略?
梦里梦一的博客
08-09 888
前言:对这块的了解比较浅薄,随后填坑. 概念 同源策略是浏览器的一个安全机制,只有同协议,同域名,同端口才会被视为同源. 产生原因 js可以操作web页面的内容,如果不加限制,各家网站页面则无安全可言. 应用场景 目前所知,同源协议阻止了ajax的跨域,我们不能轻易拿到别家网站的数据....
JavaScript 同源策略,解决方案(待更新)
书读百遍其意自现
09-11 234
同源策略:不同的标签页/窗口之间通常互不了解。有时候,也会有一些联系,例如一个标签页通过 JavaScript 打开的另外一个标签页。但即使在这种情况下,如果两个标签页打开的不是同一个网站(域名、协议或者端口任一不相同的网站),它们都不能相互通信。 这就是所谓的“同源策略”。为了解决“同源策略”问题,两个标签页必须都包含一些处理这个问题的特定的 JavaScript 代码,并均允许数据交换。 ...
javascript同源策略跨域实验及其跨域解决办法
上善若谁?
11-26 465
一、问题提出: 从应用A跳转到应用B,用户在应用B上操作完毕后,关闭页面,是否可以用程序自动刷新应用A窗口,以让用户观察操作效果。如支付宝充值,跳转到各银行界面进行充值,充值完毕后,支付宝页面相关自动刷新。(当然由于跨域问题,支付宝并没有这么做,而是弹出层让用户回来确认是否充值完毕)二、问题分析: 应用A采用域名http://trade.alibaba.com ,应用B采用的域名 http:...
JavaScript 的同源策略
yuxiayiji的专栏
09-25 990
同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。 同源定义 如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: URL 结果 原因
什么是JS同源策略跨域问题?
weixin_57550930的博客
09-28 388
1)什么是同源策略 当两个页面的协议,域名和端口都相同的时候,我们称这两个页面是同源 同源策略(英文全称Same origin policy):是浏览器提供的一个安全功能,它限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 简而言之就是浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互。 2)什么是跨域 跨域指的是两个URL的协议,域名,端口只要其中一个不一致,就会形成跨域 出现跨域的根本原因浏览器的同源
JavaScript的同源策略
cuiwenlin的博客
03-29 664
JavaScript的同源策略简单来说,就是一段脚本只能读取来自同一来源的窗口和文档的属性,这里同一来源指的是协议、主机名和端口号的组合。
c++ websocket客户端_tcp协议;websocket协议;同源策略跨域
weixin_39668496的博客
11-25 604
tcp协议为什么连接的时候是三次握手,关闭的时候却是四次握手?答:因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,"你发的FIN报文我收到了"。只有等到我Se...
使用axios发送ajax请求
qq_42524153的博客
11-05 507
使用axios发送ajax请求小示例(axios基于promise) <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> <s

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值