浏览器最新同源策略解析

已于 2023-05-03 18:38:05 修改
阅读量309 收藏
点赞数
文章标签: postman 前端 javascript 安全
于 2023-05-03 18:25:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51433562/article/details/130475460
版权

浏览器最新同源策略分析

同源和同域的区别

在前后端开发中,同源(Same Origin)和同域(Same Domain)都是指网页安全的相关概念,但具体含义不同。

同源是指两个 URL 的协议、主机名和端口号都相同,这意味着两个 URL 具有相同的“源”。

不同源:www.baidu.com, talent.baidu.com

同域则是指两个 URL 的主机名相同,即它们都属于同一个域名。同域并不涉及端口号和协议的限制,这意味着两个具有相同主机名的 URL 可以共享 Cookie、localStorage 和 IndexedDB 等数据。

不同域:baidu.com, bilibili.com

所以说,同域不一定同源

最新浏览器策略

现在一些主流浏览器的最新版本对于不同源和不同域的安全问题都进行了较高级别的设置,因此我们通常会遇到在一些接口调试工具(Postman)和浏览器中发请求时不一样的报错情况。加下了我根据自己在实践中遇到的一些问题来分析一下:

  • 同域名,不同端口:这个应该场景比较常见了,本地开发基本都是这个场景,如localhost:8080和loaclhost:8081。这是不用源的,彼此的cookie,localstorage等数据无法共享,需要在请求中设置withCredentials为true(注意,CORS中的Access-Control-Allow-Origin不能为*的问题,所以谁发来的就设置谁为白名单)
  • 不同域名:这个在真实场景的前后端分离,或者局域网开发的情况下会遇到,这个安全策略级别非常高,如果测试环境下使用http协议,是完全无法做到cookie共享的,需要换成https协议。我们在使用接口调试工具和浏览器下会遇到不同的安全问题,所以遇到这个情况,直接换一种鉴权方案,如jwt方案等。

跨域到底是个什么东西?

说句实话,我觉得这个名字就取得有问题,我们来看看跨域对应的英文CORS是啥。

跨域设置CORS(Cross-Origin Resource Sharing)简称跨域访问。

一目了然,跨域明明是不同源好吧,并不是不同域名,所以这个名字就很让人误解。所以跨域也被叫做同源策略。

_多拉不懂A梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浏览器 同域 并发请求
鬼谷中妖
03-14 3918
起因: 在面试时问到,移动端首页是采取5个单独的请求(返回文件小)好,还是1个请求(返回文件大)返回所有的数据好? 在开发中发现k线图总有两个是延迟渲染的。 解决方案: 有关网络问题,一般都是查看浏览器的network。通过查看network发现,chrome浏览器在同一时间内向同域至多发起6个请求。之后的请求,需要等待前6个返回后才能技术发送。总结:同一时间针对同一域名下的请求有一...
同域与跨域
weixin_42327720的博客
07-26 7988
同域:相同域名,端口相同,协议相同,缺一不可 跨域(浏览器同源策略造成的,是浏览器对javascript的安全限制):浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议至少有一个不相同,就是跨域。 跨域问题只存在于浏览器端,不存在于服务器端。...
同源策略、跨域:CORS--JSONP
小白小白从不日别的博客
05-18 545
主要介绍了两种常见的跨域解决方案
浅聊跨域,同源同源政策三者的关系,以及如何解决跨域
A_Common_Man的博客
04-30 530
简单的聊一下跨域,同源同源政策三者的关系,以及如何解决跨域造成的困扰
关于主机名,域名区别(www.baidu.com与baidu.com)以及同源策略的一些误区
qq_59950255的博客
04-11 9856
域名,主机名(baidu.com,www.baidu.com)区别,同源策略中某些误区
简易浏览器程序代码.rar
01-06
- 同源策略限制了不同源之间的通信,保护用户隐私。 - HTTPS提供加密传输,防止中间人攻击。 - CORS(跨源资源共享)允许特定情况下跨域请求。 6. **多进程与线程**: - 浏览器通常采用多进程架构,每个标签页...
去年跨过的浏览器.ppt
08-14
本文主要探讨的是山寨浏览器中的Cross Context Scripting(XCS)攻击,这是一种绕过同源策略(SOP)的漏洞利用方式,通常在浏览器的“特权域”内发生。下面我们将深入解析相关知识点。 首先,我们了解为何选择...
小美浏览器1.04源码
03-01
源码中可能包含SSL/TLS加密、同源策略、跨域资源共享(CORS)、Content Security Policy(CSP)等安全特性,以及Cookie管理、Do Not Track等隐私设置。 6. **性能优化**:浏览器需要高效地加载和渲染页面,这涉及到...
pb 浏览器源代码
03-12
这部分源码会涉及到HTTPS验证、内容安全策略(CSP)和同源策略。 7. **多进程架构**:现代浏览器通常采用多进程架构,将渲染进程与浏览器进程分离,提高安全性并降低崩溃影响。PB浏览器的源码可能展示了如何实现这种...
前端js解析/读取excel文件
12-22
在实际应用中,需要注意浏览器同源策略和CORS设置,因为从远程服务器加载Excel文件可能受到限制。对于大文件,考虑到内存和性能问题,可以考虑分块读取和处理。 总结,使用`js-xlsx`库,前端开发者可以轻松地实现...
【域名】【同域】【跨域】【同源策略】【解决跨域问题】解读
ManuMAX的博客
12-08 1058
域名: + + 因为IP地址不方便记忆,所以通过固定的单一的单词组成一个域名,通过这个域名找到真是的IP,便于我们去访问!那么,域名是怎样和真实的IP进行对应的呢?答案当然是: 映射关系图如下: 1、浏览器上输入需要获取的网页的域名,如 2、这个会通过DNS域名解析解析解析出真实的IP并返回给浏览器同域:协议、IP、端口都相同,就表示同域 跨域:协议、IP、端口只要有一个不同,就会产生不同的域,只要访问就是跨域1、跨域产生的原因: 是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源
浏览器同域名请求的最大并发数限制
最新发布
顺其自然~专栏
12-20 5524
当我们在浏览网页的时候,对浏览速度有一个重要的影响因素,就是浏览器的并发数量。并发数量简单通俗的讲就是,当浏览器网页的时候同时工作的线程数量。如果同时只有2个并发连接数数量,那网页打开的时候只能依赖于这2条线程,前面如果有打开慢的内容,就会直接影响到后面的内容打开。但是如果同时有更多的并发连接数,这样就会大大的提高网页加载速度。详情可查看我们之前发布的文章:并发连接数对浏览器加载速度的测试。浏览器的并发连接数也并非越大越好。下表概括了基于主机上运行的IE浏览器的版本的最大并发连接数、主机的连接速度和服务器的
浏览器同源策略与如何解决跨域问题总结
newxc
05-01 2186
🧐 什么是同源策略 跨域问题实际就是浏览器同源策略造成的。 同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要安全机制。同源指的是: 协议、端口号、域名必须一致。 下表给出了与 URL http://store.company.com/dir/page.html 的源进⾏对⽐的示例: 同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致 同源策略主要限制了三个方面: 当前域下的 js 脚本不能够访问其他
介绍什么是同源和什么是跨域,以及三种解决跨域问题的路径
yupyuping的博客
11-16 2968
什么是同源?什么是跨域? 客户端向服务器发送请求的时候,如果协议,域名(IP)和端口都一样,则称为同源,但凡有一个不一样则跨域,跨域请求默认受到浏览器的安全策略的限制,浏览器会给出相应的错误信息,对于客户端而言意味着请求失败 同源和跨域是浏览器的行为--浏览器安全机制 请求要么同源要么跨域:不同源则跨域 所谓同源就是指请求的源和对应的响应服务器:协议一致,IP(域名)一致,端口一致 影响范围 ajax 请求数据会受到影响,但是 html 代码中,二次请求文件,...
同源策略与跨域
xcxhzjl的博客
11-19 1678
目录 一、同源策略 二、Ajax跨域 1、JSONP跨域 2、proxy代理跨域 3、Cookie同源策略 一、同源策略 ●同域/同源:指两个站点具有相同的协议、域名和端口。 例:下列站点是否与http://www.test.com同域名: https://www.test.com ————>不同域,因为协议不同 http://lib.test.com ————>不同域,因为域名不同 http://test.com ————&gt.
细说同域-同父域-跨域
amyzhang1234的博客
03-09 1474
一、域名级别   域名级别是网址分类的一个标准,包括顶级域名、二级域名等。一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号"."来分隔,倒数第一个"."的右边部分称为顶级域名(TLD,也称为一级域名,包含一个合法字符串和一个域名后缀),顶级域名的左边部分字符串到下个"."为止称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分...
浏览器的跨域问题以及解决方案
u013084331的博客
04-10 4万+
1、为什么会有跨域问题的存在?   JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象,即同源政策。 2、什么是同源?   1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。   最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同"。   (1)、协议相同
同站 和 同源 你理解清楚了么?
azl397985856的专栏
06-30 4418
同站(same-site) 和同源(same-origin) 经常在页面跳转、fetch()请求、cookie、打开弹出窗口、嵌入式资源和 iframe 等场景中被提到,但是有相当一部分...
什么是跨域?跨域解决方法
热门推荐
越努力,越幸运!
12-14 43万+
一、为什么会出现跨域问题 出于浏览器同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值