1.同源策略
域名、协议、端口相同。本域脚本只能读写本域内的资源,而无法访问其他域的资源。(这里的脚本指的是JavaScript)
2.沙盒框架
3.Flash安全沙箱
- 分为本地沙箱和远程沙箱。
- 两条原则:位于同一沙箱中的资源始终可以互相访问;远程沙箱中的swf始终不能访问本地文件和数据。
- 如果a域想访问b域的沙箱,就要看b域的沙箱下的crossdomain.xml文件中允许访问的域名有没有自己。
- 不正确的配置沙箱,会导致信息泄露和csrf问题。
4.Cookie安全策略
通过设置几个字段值来保证安全。
5.内容安全策略(CSP)
使用白名单,通过编码在HTTP响应头中的指令来实施策略。