cookie的同源策略

于 2024-09-19 13:30:22 发布
阅读量312 收藏 5
点赞数 1
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66400200/article/details/142357882
版权

cookie的同源策略

Cookie 的同源策略是指浏览器在发送 Cookie 时,只会将 Cookie 发送到与当前页面同源的服务器上。同源的定义是指协议、域名和端口都相同。

具体来说,同源策略对 Cookie 的限制包括以下几个方面:

  1. 域名:Cookie 只能被发送到与设置 Cookie 时的域名相同的服务器上。例如,如果在 example.com 上设置了一个 Cookie,那么浏览器只会在向 example.com 及其子域名(如 sub.example.com)发送请求时携带该 Cookie,而不会在向其他域名(如 anotherdomain.com)发送请求时携带。

  2. 协议:Cookie 只能在与设置 Cookie 时使用的协议相同的请求中发送。例如,如果使用 https 协议设置了一个 Cookie,那么该 Cookie 只会在 https 请求中被发送,而不会在 http 请求中被发送。

  3. 端口:如果设置 Cookie 时指定了端口,那么 Cookie 只能在与该端口相同的请求中发送。如果没有指定端口,默认情况下,Cookie 适用于与设置 Cookie 时的域名相关的所有常用端口(如 http 的 80 端口和 https 的 443 端口)。

同源策略的目的是为了保护用户的隐私和安全,防止 Cookie 被恶意网站窃取或滥用。通过限制 Cookie 的发送范围,只有合法的、同源的服务器才能访问和使用相应的 Cookie 信息。

需要注意的是,有些情况下可以通过设置 Cookie 的属性来放宽同源策略的限制,例如设置 Domain 属性可以使 Cookie 在更广泛的子域名范围内共享,设置 Secure 属性可以确保 Cookie 只在安全连接(https)中发送。但这些设置需要谨慎使用,以避免潜在的安全风险。

小人物.0907
关注
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3231
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
同源策略与跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
Cookie同源策略
Nanki_的博客
01-19 792
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
浏览器同源策略Cookie的作用域
weixin_33895695的博客
09-28 103
所谓"同源"指的是"三个相同": 1.协议相同 2.域名相同 3.端口相同 当着三个地方相同才算同源 例如:http://www.example.com:8888/dir/page.html 协议是http:// 域名是www.example.com 端口是8888 采用同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去...
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 379
三、跨域的处理方式(3种)
JavaScript(Ajax)和Cookie同源策略
云计算?
01-20 131
一个URL由四部分组成,拿http://blog.csdn.net/yanical来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价于http://blog.csdn.net:80/yanical) 协议:http 主机:blog.csdn.net 端口:80 路径:/yanical 所谓的同源就是要求这个URL的协议,主机,端口三...
前端知识库-前端安全系列二(同源策略
Candour_0的博客
02-16 201
前端知识库-前端安全系列二(同源策略
漫谈同源策略(SOP)和跨域资源共享(CORS)
IerkeU的博客
04-22 4242
漫谈.....
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2890
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
同源策略介绍
weixin_44174581的博客
08-11 1807
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
csrf之cookie和session、同源策略
最新发布
2301_80361487的博客
01-26 410
大家都遵从了这个约定俗成的结果,把这两个域名都映射到同一个服务器。于是乎,不管你输入哪一个格式的网址,都是在访问同。的浏览器都会使用这个策略。同源策略的目的为了保证用户信息的安全,防止恶意的网站窃取数据。同源策略是浏览器最核心也是最基本的安全功能,现在所有支持。目前,所有浏览器都实行这个策略。在相当一段时间里,哪怕是现在,很多人仍然把带。所谓“同源”指的是“三个相同”。同源策略是非常重要的。人都将无障碍的获取私密信息,例如各个网。,这里要划重点了,这是个不带。最初,它的含义是指,告联盟、流量统计商、
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3436
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
AJAX异步交互 同源策略跨域 Cookie
amuist_ting的博客
09-08 250
核心 XMLHttpRequest XMLhttpRequest对象用于与服务器交互 通过XMLHttpRequest可以在不刷新页面的情况下请求特定URL,获取数据;这允许网页在不影响用户操作的情况下,更新页面的局部内容 let xhr = new XMLHttpRequest(); --xhr.open(method, url, flag) method 请求方式 url 请求地址 --xhr.onreadystatechange 当readyState属性发生变化时触发 xhr.onr
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 1055
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
web安全day48:session和cookie同源策略的初步理解
小梁的博客
01-17 1596
请求头 HOST:用于指定被请求资源的Internet主机和端口号 user-agent:浏览器指纹 referer:当前页面的上一个页面,如果是直接访问,则此项为空 下面是一个get页面 GET /post.html HTTP/1.1 Host: 192.168.1.3 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML,
Cookie,LocalStorage 和 IndexedDB 都会受到同源策略的限制
subsistent的博客
03-25 456
这意味着,它们只能被创建它们的网站本身、或者与它同源的网站所访问和修改。举个例子,如果某个网站在创建一条 Cookie 时,指定了域名为 abc.com,那么只有在 abc.com 域名下的页面才能访问该 Cookie同源策略是 Web 安全模型的一部分,它限制了不同源的脚本之间的交互。同源指的是协议、域名和端口号都相同,如果不同,则被认为是不同的源。同样的,如果某个网站在 LocalStorage 或 IndexedDB 中存储了数据,也只能被该网站本身或同源的网站所访问和修改。
关于P3P同源策略的问题【cookie被阻挡或限制】
04-28 262
关于P3P同源策略的问题【cookie被阻挡或限制】 关于P3P同源策略的问题【cookie被阻挡或限制】 - 我遇见你关于P3P同源策略的问题【cookie被阻挡或限制】 作者:admin 日期:2011-07-21字体大小: 小 中 大 今天在一外部网站调用我...
JavaScript的同源策略
07-13
JavaScript的同源策略是一种浏览器安全机制,用于限制跨域请求。同源指的是协议、域名和端口号都相同,只有在同源的情况下,JavaScript才能访问其他页面的内容。 同源策略的目的是保护用户的隐私和安全,防止恶意网站通过跨域请求获取用户的敏感信息。如果一个网页试图通过JavaScript访问与自己不同源的资源,浏览器会阻止这种行为,以防止潜在的安全风险。 同源策略的限制包括: 1. Cookie、LocalStorage和IndexDB等存储在浏览器中的数据无法被跨域页面访问。 2. XMLHttpRequest和Fetch等网络请求只能发送到同源的URL。 3. DOM无法跨域操作,比如无法通过JavaScript获取跨域页面的DOM元素。 4. JavaScript无法访问跨域页面的JavaScript对象和执行跨域页面的脚本。 要实现跨域请求,可以使用一些方法如JSONP、CORS(跨源资源共享)等。这些方法可以通过服务器端的设置或特殊的标记来绕过同源策略,实现跨域通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值