同源策略及其规避方法

最新推荐文章于 2022-12-06 21:33:51 发布
最新推荐文章于 2022-12-06 21:33:51 发布
阅读量287 收藏
点赞数
分类专栏: 工作必修 文章标签: ajax 跨域 postMessage ajax跨域问题 CORS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43175022/article/details/120024663
版权

同源策略及其规避方法

同源

  1. 所谓"同源"指的是"三个相同"。

    • 协议相同
    • 域名相同
    • 端口相同
同源策略

  1. 背景:1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。

  2. 概念

    1. 最初的概念

      A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"

    2. 后续发展的概念:https://cifer76.github.io/posts/same-origin-policy/

      1. 允许在浏览器中从 originB 内部请求 originA 的远程资源,包括跨域嵌入和跨域写入远程资源

        1. <a href=...指示浏览器请求另一个资源的 HTML标记
        2. <form action=... method="POST">使浏览器将表单发布到另一个网站的 HTML标记
        3. <link rel="stylesheet" href="…">从另一个站点加载 CSS 样式并将其嵌入到我们自己的网页的标签
        4. <img>从别处加载图像并将其嵌入到我们自己的网页的标签
        5. <script>从其他地方加载 javascript 代码片段并嵌入到我们自己的网页中的标签
        6. XMLHttpRequest AJAX 请求
        7. Web 字体(用于 CSS 中 @font-face 中的跨域字体使用)

      2. 不允许在浏览器中从 originB 内部请求 originA 的远程资源,即不允许跨域读取以下三种已加载资源和行为

        (1) Cookie、LocalStorage 和 IndexDB 无法读取。

        (2) 页面的DOM 无法获得。

        (3) js方法无法调用

        (4) AJAX 请求不能发送。

突破同源策略

具体实现请看:https://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

一级域名相同下的cookie和iframe/window.open打开的弹出层窗口的(2)(3)类资源跨域

  1. document.domain

    Cookie 是服务器写入浏览器的一小段信息,只有同源的网页才能共享。但是,两个网页一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享 Cookie。

    cookie的两种方式:

    1. 客户端设置:A网页通过document.domain设置一个cookie,B网页就能通过document.domain获取到这个cookie
    2. 服务端设置:服务端设置cookie时,通过domain属性指定Cookie的所属域名为一级域名

    子窗口的跨域方式:https://segmentfault.com/a/1190000005863659

    • a.html里与b.html里都加入:document.domain = "xxx.com";
完全不同源的cookie和iframe/window.open打开的弹出层窗口的(2)类资源跨域

  1. 片段识别符(fragment identifier)

    1. 主要逻辑是片段标识符#fragment绑定所需的跨域数据,通过监听hashchange事件获取跨域数据

  2. window.name

    1. 主要逻辑是子窗口通过window.name设置跨域数据,回到父窗口通过document.getElementById('{子窗口id}').contentWindow.name;获取跨域数据
(4)资源跨域方法
  1. JSONP
    1. 主要逻辑是网页动态插入<script>元素,由它向跨源网址发出请求
    2. Spring中的应用:https://www.jb51.net/article/110847.htm
  2. WebSocket
    1. WebSocket请求的头信息的Origin字段设置
  3. CORS
    1. 它是W3C标准,是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求,CORS允许任何类型的请求。
    2. CORS是什么:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS#what_requests_use_cors
    3. 解决:https://www.ruanyifeng.com/blog/2016/04/cors.html
所有资源跨域

  1. 概念:https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage

    HTML5为了解决这个问题,引入了一个全新的API:跨文档通信 API(Cross-document messaging)。

    这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。

  2. 实现(1)资源跨域:见3.4

  3. 实现(2)(3)资源跨域:见3.3跨域调用不同js方法来获取,DOM在js方法中获取回传即可

  4. 实现(4) 资源跨域:见3.3跨域调用不同js方法,通过数据跨传,在需要发送AJAX请求的js方法中发送。

Jancy丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器同源策略的行为限制以及规避方法
WEB_YH的博客
05-10 5248
本文参考自阮一峰老师的文章链接在此http://www.ruanyifeng.com/blog/2016/04/cors.html 一、简单介绍同源策略,即三个相同: 协议相同,域名相同,端口相同。 二、同源策略主要带来三个方面的行为限制: 1、cookie,localstorage和IndexDB无法读取 2、DOM无法获取 3、Ajax请求不能发送 三、规避方法 1、cookie
关于同源策略的理解
阴晦的博客
03-28 2064
0x00000001.首先让我们明确一下相关概念: 源:源即是协议、域名和端口号。 如:https://blog.csdn.net/zzy2210:8080 就是一个源 同源:即源相同,源也就是说只要协议、域名、端口号相同便属于同源。 如:对于https://blog.csdn.net/zzy2210 http://blog.csdn.net/zzy2210 ...
前端必备HTTP技能之同源策略详解
Catie
09-09 919
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
WEB知识: 同源策略介绍以及规避方法
街角有人祝福,巷口有人哭~
06-09 443
所谓同源策略(Same origin policy),其实就是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 何谓同源策略: 同源即是指域名、协议与端口相同,不同源的客户端脚本(JavaScript、ActionScript)在没明确授权的情况下,不能读写对方的资源。详细情况见下图: 同源策略的目的: 它的目的是为了保证用户信息的安全,防止恶意的网站窃取数据。 试想一下
同源策略保护了什么、如何规避同源限制
weixin_45543674的博客
03-27 5139
同源策略保护了什么、如何规避同源限制 基本照抄阮一峰的博客:浏览器同源政策及其规避方法 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它帮助阻隔恶意文档,减少可能被攻击的媒介。 例如cookie窃取,如果没有同源策略,当用户从网站a退出,进入另一个网站b时,网站b可能就拿到了用户在网站a中存储的cookie,泄露了用户的信息或伪装成用户向网站a的后端发送请求。 同源的要求:协议、域名、端口号相同 要求同源的场景: 如果不同源,以下三种行为会受到
使用jquery的jsonp如何发起跨域请求及其原理详解
12-10
总结起来,jQuery的JSONP是通过动态插入`<script>`标签来规避浏览器的同源策略,利用回调函数处理返回的JSON数据,实现跨域请求。这种方法虽然简单易用,但也有其局限性,如不支持POST请求,安全性较弱,且只适用于...
征服Ajax - Web2.0
02-23
最后,会讨论一些关于跨域请求的安全问题,包括同源策略及其规避方法。 学习这四个章节的内容,你将能够熟练地运用Ajax技术构建富互联网应用,提供更加流畅、互动的用户体验。在学习过程中,遇到任何问题都可以与...
javascript教程
03-07
13. **安全性**:学习如何防止跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和其他Web安全问题,理解同源策略及其规避方法。 总的来说,JavaScript教程旨在帮助学习者掌握这门语言的基本概念、语法特性以及在Web开发...
ajax跨域,这应该是最全的解决方案了
02-25
关于跨域,有N种类型,本文只专注于ajax请求...主要原因就是因为浏览器的“同源策略”,可以参考浏览器同源政策及其规避方法(阮一峰)CORS是一个W3C标准,全称是"跨域资源共享"(Cross-originresourcesharing)。它允许浏
live:这是一个监控app
06-21
1. JSONP(JSON with Padding):通过动态插入`<script>`标签来规避同源策略,因为脚本标签不受同源策略限制。服务端返回JavaScript函数调用,客户端提前定义好该函数,从而实现跨域数据交换。但JSONP只支持GET请求...
同源策略规避方法
Nundy
04-20 2169
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
同源策略及解决办法
热门推荐
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
浏览器同源政策及其规避方法
aoquandao8917的博客
04-12 801
作者:阮一峰 摘自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 ...
同源策略跨域处理
Uzizi的博客
08-23 380
一、定义 同源:端口协议域名一致,当客户端打开百度,谷歌两个页面,百度的页面执行一个脚本的时候,会检查该脚本是否属于哪个页面,只有跟百度同源的脚本才会执行,否则会给控制台抛出异常 二、作用 为了安全,防止跨站请求攻击等 三、避免同源策略 1、DOM同源策略规避 a、hash 因为hash的改变并不会引起页面的刷新同时可以通过 window.onhashchange事件监听到hash...
怎么去掉同源策略
gnsydss的专栏
01-03 663
Access-Control-Allow-Origin: *
同源策略及其绕过详解
yufumusui的博客
12-06 5222
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
浏览器同源策略规避方案
weixin_34146410的博客
09-08 145
浏览器的同源策略的目的是为了确保用户的信息安全,防止用户的数据被窃取。 每当客户端向服务器端发送请求时,请求都会携带cookie发送给服务器,cookie中包含着用户信息(这里又涉及到cookie的知识,cookie的作用有哪些呢?), 如果没有同源限制,用户的信息就可以被随便发送到某个服务器。 什么是同源呢? 协议+端口+域名 都相同的页面就是同源的。 浏览器的同源策...
同源策略是什么,解决跨域的方式有哪些?(面试题)
weixin_59519449的博客
11-08 177
同协议,同 ip,同端口,保证网络的安全 Jsonp 动态创建 script 解决 Proxy 代理解决 nginx 反向代理解决 Cors 后端解决 Iframe 框架解决
规避同源策略 iframe
最新发布
08-03
常见的使用iframe规避同源策略方法有以下几种: 1. 设置window.postMessage()方法:通过postMessage()方法,可以在不同的域名间传递消息。在父页面中,通过监听message事件,接收来自iframe的信息,实现跨域通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值