同源策略形象解读

最新推荐文章于 2024-10-02 05:39:15 发布
最新推荐文章于 2024-10-02 05:39:15 发布
阅读量394 收藏
点赞数
分类专栏: 前端 文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/122661543
版权

定义

同源

两个URL的协议、域名、端口都相同,就是同源URL

同源策略

一个重要的浏览器安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。

目的

为了保证用户信息的安全,防止恶意的网站窃取数据、

具体表现形式

DOM层面

同源策略限制了来自不同源的JavaScript脚本对当前DOM对象的读和写操作

数据层面

同源策略限制了来自不同源的站点读取当前站点的Cookie、IndexDB、LocalStorage等数据

网络层面

同源策略限制了通过XMLHttpRequest等方式将站点的数据发送给不同源的站点

若没有同源策略的后果

DOM层面

  1. 黑客发给你一个钓鱼网站,里面内嵌了QQ官网的<iframe>,并把长宽都拉满了。也就是说这个网站除了域名和QQ官网一模一样
  2. 你看了看傻乎乎的点了进去,输入用户名和密码
  3. 由于主网站的js可以直接访问<iframe>里另一个源的DOM节点,也就是说QQ官网的表单能被js获取
  4. js拿到你的表单数据(账号密码),发送到后台
  5. 你号没了

数据层面

  1. 你找回密码后,黑客又发你一个钓鱼网站,里面又内嵌了QQ的官网的<iframe>,同样除了域名一模一样
  2. 你打开这个页面,由于你之前在浏览器登陆过QQ,cookie还保存着,不用输密码就能登录
  3. 你暗自得意自己没有输密码,很安全
  4. js获取<iframe>里的不同源的cookie,发送到后台
  5. 你号又没了

网络层面

  1. 你再次找回密码,黑客三顾茅庐又发来一个钓鱼网站。
  2. 黑客发誓没有QQ官网,只是个自己搭建的博客
  3. 善良的你又打开了,确实是个普通博客,还以为黑客改邪归正
  4. js发送Ajax请求到不同源的QQ官网,请求会默认把本地cookie带上可以成功登录,返回的响应数据发送回后台
  5. 你号还是没了
b1ackc4t
关注
专栏目录
15 张精美动图全面讲解 CORS
卤蛋实验室
08-03 333
前言: 本文翻译自 Lydia Hallie 小姐姐写的 ✋???????? CS Visualized: CORS,她用了大量的动图去解释 CORS 这个概念,国内还没有人翻译本文,所以我在原文的理解上翻译了本文并修改了一些错误,希望能帮到大家。 觉得翻译的不错一定要点赞哦,谢谢你,这对我真的很重要! ???? 注:原文的动图均为 keynote 制作 前端开发中,我们经常要使用其他站点的数据。前端显示这些数据之前,必须向服务器发出请求以获取该数据。 假设我们正在访问 https://api.my
同源策略与跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
图解浏览器安全(同源策略、XSS、CSRF、跨域、HTTPS、安全沙箱等串成糖葫芦)...
wang_yu_shun的博客
08-08 445
关注公众号“执鸢者”,获取大量教学视频并进入专业交流群,回复“安全”获取本节思维导图。一天小林又去面试啦,面试官说:“小林呀,你对浏览器安全了解多少?”。小林摸了摸头说,目前我已经把这方...
关于同源策略的理解
阴晦的博客
03-28 2085
0x00000001.首先让我们明确一下相关概念: 源:源即是协议、域名和端口号。 如:https://blog.csdn.net/zzy2210:8080 就是一个源 同源:即源相同,源也就是说只要协议、域名、端口号相同便属于同源。 如:对于https://blog.csdn.net/zzy2210 http://blog.csdn.net/zzy2210 ...
同源策略及跨域方法
double2的博客
01-05 2037
同源策略 documentdomain windowname locationhash HTML5的postMessage方法 JSONP CORS 简单请求 非简单请求 参考文章同源策略 同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 同源指的是:同协议,同域名和同端口。
超简单 图解 三级域名解析
热门推荐
周大侠的博客
03-21 2万+
超简单 图解 三级域名解析最近自己在玩 搭建 ngrok 内网穿透,用到了三级域名解析,类似:blog.ngrok.xxx.com 查了下,发现这类的教程非常少,于是,我来造福你们了下面开始一、添加二级域名解析主机记录填写你要使用的二级域名,我填的ngrok, 记录值填你服务器的IP地址 二、添加三级域名解析主机记录填写 你要用的(三级域名.二级域名)我这里是泛解析,用了*.ngrok,你可以
js同源策略详解
10-24
同源策略JavaScript编程中非常重要的一个安全概念,其核心目的是限制一个域下的文档或脚本如何与另一个域下的资源进行交互,这是为了确保用户信息的安全,防止恶意网站访问用户信息而制定的一种策略。 同源策略的...
Django使用中间件解决前后端同源策略问题
09-18
同源策略是浏览器的一种安全机制,它要求来自同一源的页面才能共享数据。在本案例中,前端使用Angular框架开发的图书管理系统需要从前端代码中向运行在不同源的Django后端请求数据。由于Django后端默认不发送适当的...
同源策略及规避方法
Nundy
04-20 2206
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
同源策略及解决办法
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
前端必备HTTP技能之同源策略详解
Catie
09-09 942
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
同源策略与JS跨域请求(图文实例详解)
shuai_wy的专栏
04-19 1万+
同源策略与JS跨域跨域详解 Jquery Ajax 调用 Web API方法,Jquery ajax 请求.Net C# MVC. 本文介绍了同源策略,以及JS跨域问题出现的原因及原理。 本文以AJAX ,ASP.NET MVC 为例,详细的介绍了跨域请求的三种解决方案,分别为 JSONP ,CORS,代理层解决方案
老生常谈——图解3种跨域解决方案
github_38215533的博客
02-21 733
没有纯前端的跨域解决方案,遇到跨域,请找后端协商方案!什么是跨域?同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。 ——MDN跨域的产生来源于浏览器的同源策略。当你访问(请求)的资源和当前页的协议、域名、端口中有一个不同时,就会遇到跨域问题。常见的解决方案有以下3种。1. jsonpjsonp 和 XMLHttpRequest 完...
knowLedge-Vue I18n 是 Vue.js 的国际化插件
2301_76671906的博客
09-30 887
Vue 2 中使用 Vue I18n 插件实现中英文切换
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 417
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 588
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
如何使用Redisson的布隆过滤器?
最新发布
付聪
10-02 325
【代码】如何使用Redisson的布隆过滤器?
JS实现AJAX与同源策略深度解析
"JS实现的ajax和同源策略(实例讲解)\nAJAX使用Javascript技术向服务器发送异步请求;\nAJAX无须刷新整个页面;\n因为服务器响应内容不再是整个页面,而是页面中的局部,所以AJAX性能高;\njQuery实现的ajax示例代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值