浏览器安全-同源策略和CORS

最新推荐文章于 2024-06-10 23:15:24 发布
最新推荐文章于 2024-06-10 23:15:24 发布
阅读量518 收藏
点赞数
分类专栏: 安全测试工具和靶场实战 文章标签: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyang_/article/details/132717891
版权

同源策略

同源策略是浏览器的一个安全功能,浏览器禁止在当前域读写其他域的资源,如限制跨域发送ajax请求
不受同源策略限制的
1)页面中的链接,重定向表单以及表单提交
2)跨域资源引入 如script不受跨域限制,可以跨域请求src
如何解决跨域访问资源
1)利用script的跨域特性绕过同源策略,介绍了JSONP

https://www.cnblogs.com/rain-chenwei/p/9520240.html

绕过同源策略

通常情况下,浏览器会限制跨域资源的加载和执行,这是出于安全考虑。然而,存在一些方法可以实现跨域JavaScript源文件的加载:

方法一:

<script> 标签跨域加载:在HTML文档中,您可以使用<script>标签来加载其他域上的JavaScript文件。例如:
<script src="https://www.example.com/script.js"></script>

通过这种方式,浏览器将允许加载和执行来自不同域的JavaScript代码。

方法二:JSONP(JSON with Padding):JSONP是一种使用动态创建<script>标签的技术,通过回调函数的方式实现跨域数据的获取和处理。它允许在不同域之间进行数据交换,但需要服务器端支持。例如:

function handleResponse(data) {
  // 处理返回的数据
}

var script = document.createElement('script');
script.src = 'https://www.example.com/data?callback=handleResponse';
document.head.appendChild(script);


在此示例中,服务器返回的数据将以函数回调的方式传递给handleResponse函数。

方法三:

CORS(Cross-Origin Resource Sharing):CORS是一个基于HTTP头部的标准,它允许服务器通过设置响应头从而控制跨域资源的访问权限。通过在服务器端配置适当的CORS策略,您可以控制哪些域可以跨域加载和使用JavaScript源文件。
 

CORS

CORS(跨源资源共享)是一种机制,用于在多个域之间进行数据交互。它解决了如何在不同源的网页上共享数据的问题。

在CORS中,浏览器会在请求中加入一个"Origin"头,标识请求的源。服务器在收到请求后,会检查这个头,然后决定是否接受请求。

假设A网站有一个页面,页面的ajax请求了B网站的资源。浏览器去请求时,会检查origin,如果A在B允许的请求源时,可以请求B。

如果B的Access-Control-Allow-Origin为* 或者为域A,则A就可以访问B的资源。

Access-Control-Allow-Origin 是一个 HTTP 头部字段,用于在跨域资源共享 (CORS) 中设置允许访问资源的源(Origin)。CORS 是一种机制,允许 web 应用程序从不同的源访问其资源。

当在浏览器的跨域请求中,请求的源(Origin)与服务器资源的响应不在同一个域时,浏览器会发送一个预检请求(OPTIONS请求),检查服务器是否允许来自该源的访问。如果服务器允许该源的访问,它将在响应中包含 Access-Control-Allow-Origin 头部字段,指示该源具有访问权限。

例如,如果服务器允许所有源的访问,可以设置如下的响应头部字段:

```
Access-Control-Allow-Origin: *
```

如果只允许某些特定的源访问,可以设置具体的源:

```
Access-Control-Allow-Origin: https://www.example.com
```

通过设置 Access-Control-Allow-Origin 头部字段,服务器可以明确指定哪些源可以跨域访问资源,从而提供更安全和可控的访问策略。

测试-东方不败之鸭梨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源策略及其绕过详解
yufumusui的博客
12-06 5297
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
cors-filter-1.7.jar,cors-filter-2.5.jar,cors-filter-2.10.jar
06-20
在IT行业中,尤其是在Web开发领域,跨域资源共享(CORS,Cross-Origin Resource Sharing)是一个重要的概念,它允许浏览器向不同的源(域名、协议或端口)发送Ajax请求,以突破同源策略的限制。Tomcat作为一款广泛...
为什么使用代理能解决同源策略限制
weixin_45643862的博客
03-23 190
可能很多人像我一样对使用代理解决同源策略限制的原理感到疑惑。我想是因为没有搞清楚同源的源从哪里来。下面我将从下面几点回答上面的问题: 1. 什么是同源策略;还是要先回顾,加深理解; 2. 同源的源怎么确定? 3. 解决同源策略限制的方式。
超全的前端绕过同源策略方法的方法、jsonp的使用及与json的区别
m0_50103979的博客
06-10 755
最近博主在开发翰络云工具的ip查询工具(),并且发了一篇文章来总结和展示所有用到的ip查询接口(但是开发过程中发现一些ip接口的同源策略不允许跨域(哭死),为了能够使用这些接口,博主不得不再一次仔细研究前端的同源策略,并总结了一些绕过该策略的方法,同时附上一些容易混淆的点的辨析。JSONP(JSON with Padding)是一种跨域请求数据的方法。它利用了标签不受同源策略限制的特点,通过动态创建
同源策略以及绕过此限制的方法
duzm200542901104的专栏
01-05 4124
一、同源策略 1、何为同源? 所谓"同源"指的两个网页url的三个部分是相同的: http://www.example.com:80/dir/page.html 协议相同 域名相同 端口相同 2、同源策略 同源策略是Web应用程序安全模型中的一个重要概念,它由 Netscape 公司在1995年引入浏览器。该策略最初是为保护DOM的访问而设计的,Web浏览器允许第一个Web页面中包含...
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 596
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安全策略...
浏览器安全策略 & CORS
我是一只蘑菇17的博客
12-20 1124
CORS全称Cross-Origin Resource Sharing, 即跨域资源共享,是一个由一系列HTTP头组成的系统,这些HTTP头决定浏览器是否阻止前端javascript代码获取跨域请求的响应。为什么需要CORS ? 这是因为浏览器存在同源安全策略,当我们在当前域请求另外...
TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter
06-20
跨域资源共享(CORS,Cross-Origin Resource Sharing)是W3C制定的一项标准,用于允许浏览器安全地进行跨域请求,以解决传统的同源策略限制。标题“TOMCAT 跨域 CORS Access-Control-Allow-Origin cors-filter”提及...
深入浅析同源策略和跨域访问
11-22
同源策略是Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
cors-filter-2.5.jar
09-07
CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源安全策略限制。 在描述中提到,“解决java web应用跨域问题”,这指的是当JavaScript尝试从一个域名访问另一...
跨域请求资源-jsonp和cors区别.pdf
04-09
这主要是因为浏览器出于安全考虑实施了**同源策略**(Same-Origin Policy)。同源策略要求,只有在协议、子域名、主域名以及端口号全部一致的情况下,两个资源才被认为是同源的。一旦存在任何一项不同,就认为是不...
js写文件到本地_使用JS绕过同源策略访问内网
weixin_39712821的博客
12-03 308
研究人员发现一种利用公网上的JS脚本发起对本地网络的攻击,攻击者使用受害者的浏览器作为代理,使代码可以到达内部主机,并开展监听活动,甚至对有漏洞的服务发起攻击。同源策略是限制不同源的页面进行交互的web app安全模型,该模型并没有完全拦截该方法,因为浏览器可以访问本地主机和本地网络,所以可以绕过防火墙。Forcepoint的安全研究员承认该攻击技术并不是第一次出现,社区开发人员已经注意...
前端js爬虫绕过同源策略无需跨域配置
weixin_44736005的博客
03-01 790
写了一个小说阅读器,h5实现的, 网络小说,前端js直接爬取各小说网页的数据,无需跨域。 同源策略浏览器的行为, 我们可以用操作系统来交换数据。绕过浏览器。 打开目标网页,在目标网页嵌入执行js脚本,保存目标网页的数据到本地。 隐藏目标网页, 自己的网页读取本地数据即可。 ...
绕过同源策略
wk19951125的博客
06-01 1739
绕过同源策略绕过同源策略理解同源策略SOP与DOMSOP与CORSSOP与插件通过界面伪装理解SOP通过浏览器历史理解SOP绕过SOP技术在Java中绕过SOP在Adobe Reader中绕过SOP 绕过同源策略 理解同源策略 同源:拥有相同主机名、协议和端口的页面 同源策略:同源间的资源交互不受限制 SOP与DOM 决定JavaScript及其他协议如何访问DOM时就是依赖同源策略,但是I...
ajax请求绕过同源策略的实现
非著名coder的窝
05-18 3356
关于同源策略的问题可以参考:http://hcc0926.blog.51cto.com/172833/1557204虽然跨域的问题很多,但是有时候又无法避免这样的使用,比如说加载远程的一个json文件或者是远程的js文件,具体的用法如下:(1)使用jquery的ajax方法jQuery $.ajax()支持get方式的跨域,这其实是采用jsonp的方式来完成的. 加载远程文件代码示例如下:$.aja
php什么是同源策略,javascript - 绕过同源策略的方法
weixin_36035750的博客
03-23 136
origin方法方法类型:iframe。请注意,这是一个iframe方法,它将document.domain的值设置为当前域的后缀。 如果它这样做,则较短的域用于后续的原始检查。 例如,假设文档中的脚本origin执行以下语句:document.domain = "company.com";执行该语句后,页面将通过origin传递原点检查。但是,出于同样的原因,company.com无法将sour...
同源策略及规避方法
Nundy
04-20 2174
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
欧宝丽3D43V40等离子电视(ZPS46G机芯)维修手册.rar
最新发布
08-13
欧宝丽3D43V40等离子电视(ZPS46G机芯)维修手册
理解浏览器同源策略:原理、IE特性和跨域通信
同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止跨域资源共享(Cross-Origin Resource Sharing, CORS)时的潜在安全风险。源的概念源自于网络地址,它由协议(如http或https)、主机名(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值