同源策略(同域限制)

于 2024-08-18 19:37:47 发布
阅读量246 收藏 3
点赞数 8
文章标签: javascript 前端 ajax html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73890048/article/details/141304139
版权

这是浏览器中的一种安全策略,是为了保障网站资源间访问的安全性的一种策略。旨在保护用户数据和防止恶意攻击。它主要用于限制网页之间的交互,确保脚本只能在同源的条件下进行操作

这里的“同源”是指以下三个组成部分都相同:

  1. 协议(Protocol):比如 HTTP 或 HTTPS。
  2. 域名(Domain):例如 example.com
  3. 端口(Port):比如 80(HTTP)或 443(HTTPS)。如果端口未指定,通常会默认使用 HTTP 的 80 端口或 HTTPS 的 443 端口。

注意,URL 中 协议、域名、端口 三者要**完全相同**,才表示的是同源资源,只要其中有任意一个不同,则为非同源的资源。

非同源的资源之间确实有相互访问的需求,则称作 “跨域” 访问。

以下资源为非同源资源:

> - http://localhost:5500/login.html

> - http://localhost:3000/users/login

> - http://127.0.0.1:5500/users/login

同源策略的具体限制:

  1. 跨域请求

    • 同源策略禁止网页从一个源(协议、域名、端口)向不同源的网页发起请求。这意味着,A 站点上的 JavaScript 脚本不能通过 AJAX 请求访问 B 站点的资源,除非 B 站点明确允许这种跨域访问。

  2. DOM 操作

    • 脚本只能访问与其同源的页面的 DOM 对象。这防止了恶意网站通过脚本操控其他网站的内容或窃取用户信息。

  3. Cookie 操作

    • Cookie 只能被设置和读取与其相同源的页面。不同源的页面无法访问或篡改 Cookie。

解决资源访问“跨域”问题的方案:

  1. CORS(跨域资源共享)

    • CORS 是一种机制,它允许服务器通过 HTTP 头部指示浏览器允许特定来源的请求访问资源。服务器可以在响应头中添加`Access-Controll-*` 头部,以明确允许跨域请求。

  2. JSONP(JSON with Padding)

    • JSONP 是一种老旧的跨域技术,通过在 `<script src="">`标签中动态插入请求来绕过同源策略。服务器返回 JSON 数据,但以函数调用的形式包装,浏览器允许这种请求。

  3. WebSocket

    • WebSocket 协议在建立连接时会遵循同源策略,但一旦连接建立,WebSocket 连接允许跨域数据传输。

  4. PostMessage

    • window.postMessage 方法允许在不同源的窗口之间安全地传递消息。这种方法常用于父页面和嵌入的 iframe 之间的通信。

  5. 服务端代理(proxy):

    • 通过在同源服务器上设置代理,可以间接访问不同源的资源。代理服务器接收来自客户端的请求,然后将其转发到目标服务器,再将响应返回给客户端。
呼叫6945
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js同源策略详解
10-24
同源策略JavaScript编程中非常重要的一个安全概念,其核心目的是限制一个域下的文档或脚本如何与另一个域下的资源进行交互,这是为了确保用户信息的安全,防止恶意网站访问用户信息而制定的一种策略。 同源策略的...
第八节 浏览器同源策略介绍-01
09-15
首先,位于可信域(Trust Zones)的互信的域名间,不受同源策略限制。其次,IE 在判断同源时不考虑端口。但是,通过 document.domain 属性可以读取或修改源,但是有限制,修改之后的源不能通过其他脚本再次修改。 ...
ajax同源策略限制,web前端 -- Ajax同源策略以及解决跨域问题
weixin_30240263的博客
08-06 582
根据千峰教育学习视频所练习的笔记 | 学习一段时间,我也有写一点东西的必要了···1. Ajax同源策略源是指协议、域名和端口号。同源策略:是浏览器的一种安全机制。也就是说,当脚本运行时,浏览器会检测它所执行的脚本以及它取得的数据与我们的HTML页面所在的源是否相同。就是说我们请求数据的协议、端口号以及域名与我们HTML的协议、域名、端口号是否一致。一致就认为ok,是同源的,它就会进行成功的请求...
不受同源策略限制的html标签,浏览器同源策略,及跨域解决方案
weixin_30747571的博客
06-23 1381
一、Origin(源)源由下面三个部分组成:域名端口协议两个 URL ,只有这三个都相同的情况下,才可以称为同源。下来就以 "http://www.example.com/page.html" 这个链接来比较说明:二、同源策略浏览器的同源策略是一种安全功能,同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。所以a.com下的js脚...
浏览器特性的同源策略限制
huangjianfeng21的博客
06-19 652
什么是同源策略 同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源 也就是说同源策略限制从一个源加载的文档或者脚本如何与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制 源包含三部分内容:协议,域名,端口(三者都相同则为同一个源) 同源策略限制 常见的就是一个源的文档,没有权力操作另外一个源的文档,常见的有以下几种限制 Co...
同源策略讲解
weixin_54574094的博客
12-04 1288
在学习同源策略时,我们必须要再次明确浏览器和服务器等关系。浏览器发起请求,服务器接收请求并返回响应。而同源策略是浏览器的安全策略。就相当于浏览器的门,服务器是主人。门是有锁(同源策略)的,只有有钥匙🔑的人才可以进门(也就是跨域问题,就是进门问题)。那钥匙是谁给的呢?就是服务器给的,所以配置跨域资源共享就是服务器配置的。服务器定义了只有哪些网络连接可以访问我的服务器,举个例子:www.baidu.com访问不了谷歌的服务器。
不受同源策略限制的html标签,JSONP跨域的script标签请求为什么不受同源策略限制?...
weixin_35707846的博客
06-23 523
在复习跨域的时候,复习到了JSONP跨域,大家都知道JSONP跨域是通过动态创建script标签,然后通过其src属性进行跨域请求的,前端需要一个数据处理的回调函数,而服务端需要配合执行回调函数,放入要传过来的数据这时候问题来了,JSONP跨域的script标签请求为什么不受同源策略限制?这个问题可以这么回答:首先我们要理解什么时候同源策略,它的作用是什么,它干了什么事。要理解同源策略得先知道:...
同源策略以及cookie安全策略
08-29
然而,Adobe的跨域策略文件(crossdomain.xml)允许指定域之间的通信,配置不当可能导致Flash应用被用来绕过同源策略,从而引发安全问题。 【Web认证方式】和【浏览器的安全缺陷】:大部分Web应用依赖Cookie进行...
JS实现的ajax同源策略(实例讲解)
10-18
- **AJAX请求被限制**:同源策略限制AJAX请求的发起,只能向同一个域发送请求。 #### 如何解决同源策略带来的限制 - **CORS(跨源资源共享)**:通过在服务器端设置HTTP响应头`Access-Control-Allow-Origin`来...
JavaScript同源策略和跨域访问实例详解
01-19
浏览器的同源策略限制了来自不同源的”document”或脚本,对当前”document”读取或设置某些属性。 (白帽子讲web安全[1]) 从一个域上加载的脚本不允许访问另外一个域的文档属性。 举个例子: 比如一个恶意网站的...
vue2前端阿里云oss服务端签名直传
weixin_74285634的博客
08-13 297
generatePresignedUrlApi是由后端提供的接口 来获取密钥。
44 个 React 前端面试问题
广漂程序猿DevinRock
08-14 945
虚拟 DOM 是 React 中的一个概念,其中创建实际 DOM(文档对象模型)的轻量级虚拟表示并将其存储在内存中。它是一种用于优化 Web 应用程序性能的编程技术。当 React 组件的数据或状态发生更改时,虚拟 DOM 会被更新,而不是直接操作真实 DOM。然后,虚拟 DOM 计算组件的先前状态和更新状态之间的差异,称为“比较”过程。一旦识别出差异,React 就会高效地仅更新真实 DOM 的必要部分以反映更改。这种方法最大限度地减少了实际 DOM 操作的数量,并提高了应用程序的整体性能。
【vue教程】五. Vue 的路由管理
前端探索者
08-13 1123
Vue Router 是 Vue 官方的路由管理器,用于构建单页面应用。它允许你通过 URL 来映射不同的组件,实现页面的动态加载和导航。路由守卫用于在路由跳转前后执行代码,可以用来检查用户认证状态、获取数据等。通过本篇文章,我们学习了 Vue Router 的基本概念、配置和使用,以及如何实现动态路由和嵌套路由。我们还探讨了路由守卫的概念,并提供了如何在 Vue 组件中使用它们的示例。这些知识点将帮助你构建一个功能完备的单页面应用。
CSS的:defined伪类:选择已定义元素的新选择器
2401_85743969的博客
08-17 468
在CSS中,伪类用于选择元素的不同状态或行为。:defined伪类是CSS4的一个特性,用于选择已经在文档中定义的元素。
【无标题】
weixin_42348009的博客
08-14 174
静态方法返回一个由给定对象自身的可枚举的字符串键属性名组成的数组。
基于vue框架的爱看电影网站v4o92(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
08-15 968
项目功能:用户,电影分类,电影信息,电影评分基于Vue框架的爱看电影网站项目功能丰富多样,旨在为用户提供一个集电影浏览、信息查询、观影体验、互动交流于一体的综合性平台。
NVDLA专题4:具体模块介绍——Convolution DMA
fangfanglovezhou的博客
08-14 570
NVDLA专题4:具体模块介绍——Convolution DMA
一些有趣的XSS注入GAME
最新发布
qq_67758645的博客
08-17 646
如果我们不经过前面的javascript:将其变成字符串,那么传进去后时候就会带两个引号,那么就算setTimeout可以将字符串当作代码执行,但是,里面还是一层字符串,执行不了。我理解的是javascript:将后面的alert字符串替换成alert js代码,类似于eval的作用,传进setTimeout的时候就不是字符串,而是js代码。将%编码试试,%25,这样到后端以后就会变成%28 %29,如果js能够解码的话,最后传到页面的时候在解码%28,%29为(),这样不就实现了嘛。
Bootstrap 附加导航(Affix)插件
2402_83140078的博客
08-17 533
附加导航(Affix)插件允许指定 固定在页面的某个位置。一个常见的例子是社交图标。它们将在某个位置开始,但当页面点击某个标记,该 会锁定在某个位置,不会随着页面其他部分一起滚动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值