http和https之浏览器安全策略

最新推荐文章于 2024-06-27 08:28:39 发布
最新推荐文章于 2024-06-27 08:28:39 发布
阅读量1.6k 收藏
点赞数
分类专栏: 笔记 文章标签: http https 前端 网络协议 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42908468/article/details/117486553
版权

HTML 的ifream标签获取cookie

最近在开发的时候碰到了一个问题,ifream标签里面发起http请求是,是否会带上cookie

针对这个问题我专门的和我们的前端同事一起研究了一下,先说结果
原有页面是在http://a.test.com.cn下,然后嵌套的ifream标签是http://b.test.com.cn下的,然后此时在潜入的ifream下访问http://c.test.com.cn的后端接口,所有生效在test.com.cn这个二级域名下的cookie都会带到http://c.test.com.cn的后端

注意一下,请求是否带有cookie和ifream的来源域名没有关系,只和cookie所属的域和要请求的接口的域名有关

结论,不管是否是ifream标签,http请求带有的cookie,是和浏览器本身在这个域下的cookie集合有关,和标签本身没有关系

补充:后来我又碰到了一个问题,如果ifream的地址是https的话,那么嵌入在https的资源下的JS代码,是不能发起http请求调用的,即HTTPS的资源不能发起http的调用,即安全级别高的不兼容安全级别低的

酱油小哥cool
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第八节 浏览器同源策略介绍-01
09-15
例如,http://www.example.com 和 https://www.example.com 不是同源,因为它们的协议不同。在浏览器中,每个页面都有其对应的源,用于标识页面的来源。 同源策略 同源策略是浏览器安全机制中的一部分,用于阻止...
MicrosoftEdgePolicyTemplates EDGE浏览器企业模式策略包
06-13
对于企业环境,Microsoft Edge提供了组策略模板,帮助企业管理员统一管理和配置浏览器设置,确保员工的浏览体验符合企业安全与效率的标准。这个“MicrosoftEdgePolicyTemplates”包就是专门为102.0.1245.33版本的...
浏览器特性与安全策略
Wang的专栏
03-27 2391
该指令在某种资源类型指定指令没有被定义的情况下制定了所有资源类型的加载策略(即默认的资源加载策略): 该指令制定了Web应用程序可以加载的CSS样式表的域或URL。: 该指令指定了Web应用程序可以加载的脚本的域或URL。: 该指令指定了Web应用程序可以加载的音视频的域或URL。: 该指令指定了Web应用程序可以加载的图片的域或URL。: 该指令指定了Web应用程序可以加载的框架的域或URL。: 该指令指定了Web应用程序可以加载的字体的域或URL。通过编码在HTTP响应头中的指令来实施策略。
IE浏览器只能打开http协议网站,所有https协议网站都打不开,而且会重定向到其他页面
热门推荐
jl1134069094的博客
05-06 5万+
经查证及实践发现是由于IE浏览器的参数被更改导致的。 解决办法: 1.打开IE浏览器菜单, 2.打开IE浏览器选项, 3.选择Internet选项中的高级, 4.找到并勾选“使用TSL  1.0”和“使用SSL3.0”这两个选项,保存设置后就可以恢复正常了。 注明:也可以使用IE的“还原高级设置“按钮来解决,但这样会将IE的所有设置恢复为缺省值,部分参数
快速解决浏览器访问http或者不安全https 地址栏出现不安全或者Not secure
最新发布
dzqxwzoe的博客
06-27 562
在2018 年开始 google 浏览器 开始对 http 所有的网址都做出了 不安全的提示 ,如这样的话 让很多 http的网址显得很“不安全”在对外展示的时候,不禁给客户留下不好的印象解决此问题的 正规方案当然是 改成 浏览器推荐的 https ,有正规的域名,但是本方案不是本文重点,我们的重点是能够快速通过浏览器配置,屏蔽 “不安全“和 Not secure 这些看起来让人不安的因素接下来我们会分浏览器分别介绍Chrome:1、地址栏 输入 chrome://flags/
浏览器的基本安全策略
05-15 731
浏览器安全—同源策略 详情请查看这篇文章:浏览器特性的同源策略及限制 浏览器沙箱机制 详情查看这篇文章:浏览器沙箱机制 恶意网址拦截 转载于:https://www.cnblogs.com/LO-ME/p/10869154.html...
浏览器的地址栏只能输入HTTP协议的路径么?底层原理是什么?
长风破浪会有时的博客
05-22 224
具体来说,浏览器会根据协议类型来选择不同的传输协议,并在建立连接时使用相应的协议头来进行通信。使用HTTPS协议时,浏览器会先与服务器建立安全连接,然后使用加密的HTTP协议进行通信。因此,浏览器的地址栏并不只能输入HTTP协议的路径,它也可以输入其他协议的路径。当用户在浏览器的地址栏中输入一个URL时,浏览器会根据URL中的协议来决定使用哪种协议来进行数据传输。浏览器的地址栏并不只能输入HTTP协议的路径,它也可以输入其他协议的路径,例如FTP、HTTPS等。
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在...
IE 浏览器安全级别详情及区别小结
10-22
标题中的“IE 浏览器安全级别详情及区别小结”指的是对Internet Explorer浏览器不同安全级别的详细介绍和比较,尤其在Windows 7系统下IE9版本的设置。描述中提到的“排查问题时,定位到可能和当前浏览器的安全级别...
浏览器安全杀毒版
07-31
浏览器安全杀毒版是一款专为提升用户在线浏览体验和网络安全防护设计的专业软件。这款软件集成了常规浏览器的功能,同时还增加了强大的杀毒和安全防护模块,旨在保护用户免受恶意软件、病毒、网络钓鱼等在线威胁的...
HTTPS用户无法重定向的解决方法
04-06
HTTPS重定向过程中,当BAS DHCP用户处于前域或者是PPPoE用户处于欠费状态 时,如果用户访问网络侧,Web服务器会通过推送登录页面的方式强制用户填写认证 的用户名和密码,Web认证服务器认证通过之后,才能正常访问网络。
导入浏览器访问信任证书
02-14
现在盗版系统,新装浏览器后,访问一些网站经常提示http安全证书过期,在谷歌里,受信任机构中导入CA证书,其实它就是一个证书集合,导入后即可解决问题
关于HTTPS网页不能发起HTTP协议请求(OpenSSL 生成密钥方法)
皮蛋很白的博客
01-08 5501
场景描述 当 HTTPS 协议网站中使用了 HTTP 协议的资源,Chrome 浏览器会发出警告: # Warning: Mixed Content: The page at 'https://aaa' was loaded over HTTPS, but requested an insecure image 'http://bbb'. This content should also be served over HTTPS # 混合内容:'https://aaa' 页面已通过 HTTPS 加载,但是
网络协议HTTPHTTPS
qq_38571892的博客
03-12 3534
概述 HTTP是应用层的通信协议HTTPS ,可以理解为是安全版的HTTP协议,实际就是在 TCP 层与 HTTP 层之间加入SSL/TLS的安全认证机制 ,实现客户端与服务器的数据加密传输,最终达到保证整个通信的安全性的目的,主要用到对称加密、非对称加密、证书等技术。 为什么有了HTTP后又出现了HTTPShttps是安全版的http,因为http协议的数据都是明文进行传输的,所以对于一些敏感信息的传输就很不安全,HTTPS就是为了解决HTTP的不安全而生的。 HTTPS实现安全机制的原理 在了解
视频播放问题一:iframe嵌入视频https网站不支持HTTP资源问题解决
wendyGao_Yin的博客
02-03 2万+
问题一: 因为Flash被淘汰,所以项目中的所有的视频都要换成了iframe嵌入: 为什么选iframe? <embed> : 允许嵌入PDF,SVG <object>:同 <embed> <iframe> :能够将另一个HTML页面嵌入到当前页面中。 name="iframe" : 用于定位嵌入的浏览上下文的名称 frameborder="0" : 值为1(默认值)时,显示此框架的边框。值为0时移除边框,已废弃,使用 CSS 属性 border 代替
不支持请求的安全协议_使用SSL证书https协议,完美解决谷歌Chrome浏览器“不安全”...
weixin_39973518的博客
12-01 2万+
传统的http协议,存在被监听、劫持等安全风险,故众多浏览器都已经http协议标记为“不安全”。尤其是谷歌Chrome浏览器对“不安全”的提示最为明显,360浏览器、搜狗浏览器等次之。未使用https协议网站提示不安全该问题已经严重影响了网站访问者,对网站的信任。如不解决,就连搜索引擎收录也不是那么友好。有的流量高的网站,偶发跳转其他网站的问题,而且往往出现跳转的都是一些垃圾网站。在经过对程序作...
http内容安全策略Content Security Policy(CSP)
focus on security
08-24 5730
内容安全策略CSP是安全性的附加层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(https://owasp.org/www-community/attacks/xss/)和数据注入攻击。这些攻击可用于从数据盗窃,站点损坏到恶意软件分发的所有方面。 CSP被设计为完全向后兼容(除CSP版本2,其中有在向后兼容性一些明确提到的不一致性)。不支持它的浏览器仍然可以与实现它的服务器一起使用,反之亦然:不支持CSP的浏览器只是忽略它,照常运行,默认为Web内容的标准同源策略。如果站点不提供CSP标头,则浏览器
浏览器安全策略视频地址不能http协议
09-03
浏览器安全策略要求视频地址不能http协议,而是必须使用https协议。这是因为http协议传输的数据是明文的,容易被黑客截取和篡改,存在安全隐患。相比之下,https协议通过SSL/TLS加密通信,确保数据传输的安全性和完整性。因此,浏览器安全策略要求视频地址使用https协议,以保护用户的隐私和安全。通过使用https协议,用户可以在浏览器中进行视频播放时,享受到更加安全的通信环境,减少数据被窃取或篡改的风险。同时,https协议的普及也全面推动了互联网安全意识的提升,鼓励网站和服务提供商采用更加安全的通信方式,保护用户数据和隐私。通过提高浏览器安全策略要求,人们在浏览网页和使用各种在线服务时能够更加安心和放心。因此,浏览器安全策略要求视频地址不能http协议,是为了提升用户的网络安全体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值