同源策略

最新推荐文章于 2023-03-14 16:44:45 发布
最新推荐文章于 2023-03-14 16:44:45 发布
阅读量321 收藏 1
点赞数 2
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35508835/article/details/104870862
版权

同源策略

什么是同源策略

同源策略(Same origin policy)是浏览器为了安全设置了一种机制,即在打开了多个iframe或者多个窗口的情况下,限制JavaScript代码能够访问的只有同源(同一协议、同一域名、同一端口)的iframe或者窗口。

举例

a:http://www.a.com:80(域名对应ip为http://1.1.1.1)
b:

序号域名端口情况分析是否与a同源
1http://www.b.com8080与a不同域名不同端口非同源
2http://www.b.com80与a不同域名同一端口非同源
3http://www.a.com8080与a同一域名不同端口非同源
4http://a.com80与a同一域名同一端口但不同二级域名非同源
5http://1.1.1.180使用与a域名对应ip以及同一端口非同源
6https://www.a.com80与a同一域名同一端口但不同协议非同源
7http://www.a.com80与a同一域名同一端口同一协议同源

不严格的同源策略

domain

假设现在有两个窗口,窗口a和窗口b,a打开的a.example.com,b打开的是b.example.com,此时只要将这两个窗口的document.domain都设置成example.com,那么她们就可以摆脱同源策略的限制。但是这里要注意的是,domain的属性至少要保留一个点,也就是说至少要是二级域名,并且只能减去子域名,而不能修改任何域名。比如:这里的窗口a和窗口b,不能把example.com修改成example1.com或者example.cn,这样是不可以的。

跨域资源共享(CORS)

为了应对同源策略,IE8推出了XDomainRequest,而其它浏览器通过XMLHttpRequest实现了对CORS的支持。客户端将在请求头部带上Origin属性,而服务器在相应的时候会在头部加上一个Access-Control-Allow-Origin属性,浏览器将通过这两个属性是否匹配来判断是否可以CORS。

跨文档消息

浏览器允许不同文档之间传递消息,而不管其源是否相同。假如现在这里有两个窗口,窗口a和窗口b,它们现在是不同源的。此时a可以调用postMessage方法传递消息时间,b可以调用onMessage方法来接收,虽然此时a和b还是不能互相访问,但是也可以实现安全的消息通讯了。

Fatman_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js同源策略详解
10-24
同源策略JavaScript编程中非常重要的一个安全概念,其核心目的是限制一个域下的文档或脚本如何与另一个域下的资源进行交互,这是为了确保用户信息的安全,防止恶意网站访问用户信息而制定的一种策略。 同源策略的...
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
前端网络之同源策略
爱前端的程序媛的博客
03-14 720
同源策略及其解决方案
同源策略是什么?
qq_43539439的博客
02-23 518
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是由Netscape提出的一个著名的安全策略。所有支持JavaScript的浏览器都会使用这个策略。 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。...
前端扫雷之同源策略
yushenxin的博客
03-24 347
参考链接:浏览器同源政策及其规避方法 浏览器的同源策略什么是同源策略W3上是这么解释的: documents retrieved from distinct origins are isolated from each other.直译就是不同源文档的访问是隔离的。 MDN上是这么解释的:同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。对于本地请求 禁止访问(the use
前端同源策略和跨域详解
mkbird的博客
09-24 1474
webcoket作为一种常用于实时聊天的协议,本身就不存在跨域问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端和服务器中间使用一个代理服务器,代理服务器和客户端同源,代理服务器和服务器进行数据交互,这样就实现了跨域。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
笔记 前端需要了解的同源策略
ygx_work的博客
05-21 194
同源策略简单的说就是一段脚本只能读取来自于同一来源的窗口和文档的属性,这里的同一来源指的是主机名、协议和端口号的组合。其实主要是用来防止 CSRF 攻击的。简单点说,CSRF 攻击是利用用户的登录态发起恶意请求。也就是说,没有同源策略的情况下,A 网站可以被任意其他来源的 Ajax 访问到内容。如果你当前 A 网站还存在登录态,那么对方就可以通过 Ajax 获得你的任何信息。 ...
深入浅析同源策略和跨域访问
11-22
同源策略是Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
Django使用中间件解决前后端同源策略问题
09-18
同源策略是浏览器的一种安全机制,它要求来自同一源的页面才能共享数据。在本案例中,前端使用Angular框架开发的图书管理系统需要从前端代码中向运行在不同源的Django后端请求数据。由于Django后端默认不发送适当的...
同源策略详细介绍文档
05-07
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...
JS实现的ajax和同源策略(实例讲解)
10-18
以下详细介绍ajax以及同源策略的知识点。 ### AJAX知识点 #### AJAX的基本概念和优点 AJAX利用JavaScript技术向服务器发送异步请求,其主要优点包括: 1. **异步性**:能够在不中断用户当前操作的情况下与服务器...
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
JavaScript同源策略和跨域访问实例详解
10-18
JavaScript同源策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
同源策略以及cookie安全策略
08-29
同源策略】是Web浏览器实施的一种安全策略,旨在防止恶意脚本从一个域名访问另一个域名的数据。简单来说,它规定同一源(协议、域名和端口)的JavaScript才能访问和修改网页内容,如HTML、CSS和Cookies。然而,...
WEB前端安全之同源策略.pdf
07-02
同源策略】是Web浏览器中的一个重要安全机制,它的全称是Same-Origin Policy。这个策略主要是为了保护用户信息不被恶意网站窃取,通过限制JavaScript只能访问与当前页面同源(即协议、域名和端口均相同)的网页...
同源策略、跨域以及跨域的三种解决方案详解
Harley567
08-25 1711
1.服务器代理; 2.cors跨域资源共享; 3.JSONP
前端必备HTTP技能之同源策略详解
Catie
09-09 927
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
浅析浏览器同源策略
weixin_30814223的博客
08-22 135
浏览器安全以同源策略为基础,理解同源策略才能把握客户端安全本质 web是建立在同源策略之上的,浏览器只是针对同源策略的一种实现 同源策略   浏览器的同源策略,限制了来自不同源的“document”和脚本   判断资源是否同源,以下情况认为同源、非同源: URL outcome reason http://store.company.com/d...
JavaScript同源策略
cuiwenlin的博客
03-29 672
JavaScript同源策略简单来说,就是一段脚本只能读取来自同一来源的窗口和文档的属性,这里同一来源指的是协议、主机名和端口号的组合。
iframe 同源策略
最新发布
12-28
同源策略是一种浏览器安全机制,用于限制一个源(域名、协议和端口)的文档或脚本如何与另一个源的资源进行交互。同源策略的目的是防止恶意网站通过脚本访问用户的敏感信息或执行恶意操作。 在同源策略下,一个源的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值