网络安全与攻防-同源策略

最新推荐文章于 2024-09-12 17:36:02 发布
最新推荐文章于 2024-09-12 17:36:02 发布
阅读量479 收藏
点赞数 1
分类专栏: 计算机网络相关 # 网络安全与攻防 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35729091/article/details/130278194
版权

目录

同源策略(浏览器控制)

定义

思考:

跨域的N种方法

Jsonp

跨域资源共用(CORS)

 预检(OPTIONS请求)

代理服务(优先考虑)

实战CORS(Fetch+node.js)

小结

同源策略(浏览器控制)

定义

禁止一个源(origin)的脚本&文档和另一个源的脚本&文档交互

  • 两个URL的protocol,port和host相同,那么同源
  • 思考:如果两个源产生过多交互会有什么问题?

 

思考:

  • 为什么不禁用不同源的js?(引用组件,引用cdn,所以禁用是不现实的)
  • 应不应该允许不同源的js修改dom?(允许,CDN上的js改变dom是正常行为)
  • 应不应该允许不同源的js获取远程图片内容?(不允许,不允许远程执行代码)
  • 应不应该允许网站提交数据到不同源的服务器?(不允许,需要同源策略管控,如它收集你的数据,提交给自己服务器了)
  • 应不应该允许网站提交cookie到不同源的服务器?(不允许,除非配置跨域)

跨域的N种方法

确定2个源之间是安全的 可以采用跨域(绕过同源策略)

Jsonp

  • 利用不限制跨域脚本执行的特点
// 服务端数据(data.js)
jsonp('example', {
    a: 1,
    b: 2
})
// index.html 样板代码
function jsonp(topic, data) {
    console.log(topic, data)
}
// 加载跨域数据脚本
var script = document.createElement('script')
script.setAttribute('src', 'data.js')
document.getElementsByTagName('head')[0].appendChild(script)

思考:

  • Jsonp可以用来提交数据吗?(本质上讲是一个script标签发送的get请求,可以提交数据,在路径里拼接,在url的query上,可以提交,但是是不合适的)
  • 尝试为fetch函数扩展jsonp功能
// 扩展代码,实现后的调用
fetch(<jsonp-url>,{method: 'jsonp'})
    .then(data => {
        console.log(data)    
    })

跨域资源共用(CORS)

跨域资源共用(Cross-Origin Resource Sharing)使用额外HTTP头允许指定的源和另一个源进行交互

 

 预检(OPTIONS请求)

 

也是一次请求,消耗带宽,消耗延迟

代理服务(优先考虑)

利用代理将不同源的资源代理到同源的资源

Proxy(node代理)

 具体策略以网络为准,看哪个策略最优

实战CORS(Fetch+node.js)

  • 观察node.js在服务端实现CORS跨域
  • 观察浏览器中fetch的使用方法
  • 观察OPTIONS预检请求
// node服务
const express = require('express')
// 页面1
const app1 = express()
app1.get('/', (req, res) => {
  res.send("hello")
})
app1.listen(3000)
// 页面2
const app2 = express()
app2.options('/api', (req, res) => {
  // 其他源的网站可以跨域访问
  res.set('Access-Control-Allow-Origin' , "*")
  // 请求头加token
  res.set('Access-Control-Allow-Headers', "content-type,token")
  // POST/GET/HEAD 是简单请求,而PUT/DELETE需要授权
  res.set('Access-Control-Allow-Methods', "PUT") 
  res.sendStatus(200)
})
app2.get('/api', (req, res) => {
  res.set('Access-Control-Allow-Origin', '*')
  res.send('go-to')
})
app2.post('/api', (req, res) => {
  // res.set('Access-Control-Allow-Origin', 'http://www.dev.com')
  res.send('go-to')
})
app2.put('/api', (req, res) => {
  res.set('Access-Control-Allow-Origin', 'http://www.dev.com')
  res.send('go')
})
app2.listen(3001)

子域名之间也是跨域的

父子域名之间也是跨域的

fetch('http://dev.com/api,{mode:'no-cors'})

// 200 通了,但是透明请求不返回数据,还是被同源策略管制

小结

  • 理解跨域要解决的问题而不是记住跨域这个现象和处理方法
  • 子域名和父域名交互的时候因为子域名可以修改自己的域为父域名可以解决跨域问题
  • 理解策略要解决的问题,而不是记住处理方法
  • 决定用哪种策略核心的原则是在安全性前提下获得最优效率

 

路人i++
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
前端知识库-前端安全系列二(同源策略
Candour_0的博客
02-16 193
前端知识库-前端安全系列二(同源策略
web安全-浏览器安全策略摘要总结 (渲染方式 沙盒策略 同源策略 内容安全策略-CSP指令 访问授权)
m0_74220316的博客
05-02 317
web安全-浏览器安全策略摘要总结 (渲染方式 沙盒策略 同源策略 内容安全策略-CSP指令 访问授权)
网络安全全栈培训笔记(54-WEB攻防-通用漏洞&跨域CORS资源&JSONP回调&域名接管劫持)
qq_46343633的博客
01-17 1081
1、子域名接管检测&探针&利用2、C0SP跨域资源检测&探针&利用3、JSONP跨域回调-检侧&探针&利用#前置知识点:同源策路限制从一个源加载的文档或脚本与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制简单说就是浏览器的一种安全策略。虽然同源策路在安全方面起到了很好的防护作用,但也在一定程度上限制了一些前端功能的实现,所以就有了许多跨域的手段。子域名接管:域名解析记录指向域名,对应主机指向了一个当前未在使用或已经删除的特定服务,攻击
同源策略以及出现的各类安全问题
Kr的博客
03-21 1748
同源策略(SOP) 源: 同’源’中的’源’:协议+域名+端口 只有两个页面具有相同的 协议+域名+端口,那么他们称之为同源。(子域名也不是同源的。例如:test.com和sub.test.com) 同源策略同源策略是浏览器的一个安全模型,它规定了:不同源的两个客户端脚本在没有授权的情况下,不能读写对方的资源。(同时这里需要注意的一个概念:同源策略是浏览器的一种安全措施,它并没有禁止脚本的执行...
浏览器安全同源策略
aide521521的博客
03-18 673
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响.可以说Web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现.浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性.影响"源"的因素有:协议,域名,端口号.需要注意的是,对于当前页面来说,页面存放JavaScript文...
网络安全入门 5 天速成教程: WEB 安全渗透攻防技术
yinjiyufei的博客
11-27 1098
5 天速成网络安全入门教程: WEB 安全渗透攻防技术
网络安全编程之脚本攻防
10-12
网络安全领域,脚本攻防是一项至关重要的技能,它涵盖了对Web应用的攻击与防御策略。脚本攻防主要关注的是客户端与服务器之间的交互过程,尤其是JavaScript、PHP、Python等脚本语言在其中的角色。本主题将深入探讨...
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1418
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1808
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 155
y0usef靶机渗透实例
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 1752
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全宣传周 | DNS安全威胁与应对措施分享
最新发布
weixin_53018687的博客
09-12 682
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
WAJXY2021的博客
09-12 765
整理了2024年国内发布的网络安全领域相关政策法规,希望能为广大从业者与关注者提供相关参考,共同促进网络安全生态的健康发展。
深入解析反射型 XSS 与存储型 XSS:原理、危害与防范
2301_77160226的博客
09-05 851
反射型 XSS 和存储型 XSS 都是常见的 XSS 攻击类型,它们的原理和危害有所不同,但都可以对用户造成严重的危害。为了防范 XSS 攻击,我们需要采取一系列的措施,如输入验证和过滤、输出编码、使用安全的 API 和框架等。同时,我们也需要教育用户提高安全意识,不要点击来自不可信来源的链接,不要在不可信的网站上输入敏感信息。
Web安全网络安全:SQL漏洞注入
hong161688的博客
09-10 713
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
Web安全之文件上传漏洞和案例示范
J老熊
09-09 985
Web应用程序中,文件上传功能广泛应用,特别是在电商交易系统中,用户上传商品图片、订单文件等操作十分常见。然而,文件上传功能若未被妥善处理,将成为攻击者利用的突破口。本文将以电商交易系统为例,深入分析文件上传过程中的常见安全漏洞,提供相应的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值