Part 1 浏览器特性和安全策略课后题
【解析】同源是指两个页面的主机、域名、端口都相同则为同源。题目所述http协议默认端口为80,故A、B同源,D选项中最后的/sec/websec为服务器上资源的存放路径,其端口为默认端口,故与A、B同源
【解析】同上,文件路径不作要求。
Part 2 其他总结
1、同源策略:如上
2、cookie
作用:Cookie 为 Web 应用程序保存用户相关信息提供了一种有用的方法。例如,当用户访问您的站点时,您可以利用 Cookie 保存用户首选项或其他信息,这样,当用户下次再访问您的站点时,应用程序就可以检索以前保存的信息。
cookie查看方法:打开浏览器的开发者工具,在console(控制台)输入以下命令
document.cookie
3、沙盒框架:sandbox iframe, HTML5的特性(之前无)
< iframe src= “http://www.baidu.com” sandbox>//默认的安全策略,独立的源,只有展示功能,没有任何可操作性
4、flash安全沙箱:包括本地沙箱和远程沙箱
同一个域内只能访问域内资源
1、位于同一沙箱中的资源始终可以互相访问
2、远程沙箱中的swf(Small Web Format, flash文件 )始终不能访问本地文件和数据
策略管理配置
跨域策略通过crossdomain.xml文件进行管理和控制,限制flash是否可以跨域读取以及从哪里读取,文件位于站点根目录。
文件访问过程
于A域文件欲访问B域文件,则A先检测B域服务器根目录是否存在有crossdomain.xml文件,如果没有则访问不成功;若是文件存在,且里面设置了允许A域访问的条件则通信正常;否则访问失败。
xml文件的查看方法
不正确的xml设置会导致的问题
信息泄露、CSRF
5、内容安全策略(CSP)
定义
CSP,content security policy,通过编码在HTTP响应头中的指令来实施策略