同源

最新推荐文章于 2023-01-06 14:50:04 发布
最新推荐文章于 2023-01-06 14:50:04 发布
阅读量515 收藏 3
点赞数
原文链接:https://www.cnblogs.com/laixiangran/p/9064769.html
版权

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。

同源定义

如果两个 URL 的 protocolport (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是 “元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html失败主机不同

源的继承

在页面中通过 about:blank 或 javascript: URL 执行的脚本会继承打开该 URL 的文档的源,因为这些类型的 URLs 没有包含源服务器的相关信息。

例如,about:blank 通常作为父脚本写入内容的新的空白弹出窗口的 URL(例如,通过  Window.open()  )。 如果此弹出窗口也包含 JavaScript,则该脚本将从创建它的脚本那里继承对应的源。

注意:在Gecko 6.0之前,如果用户在位置栏中输入 data URLs,data URLs 将继承当前浏览器窗口中网页的安全上下文。

data:URLs 获得一个新的,空的安全上下文。

IE 中的特例

Internet Explorer 的同源策略有两个主要的差异点:

  • 授信范围(Trust Zones):两个相互之间高度互信的域名,如公司域名(corporate domains),则不受同源策略限制。
  • 端口:IE 未将端口号纳入到同源策略的检查中,因此 https://company.com:81/index.html 和 https://company.com/index.html  属于同源并且不受任何限制。

这些差异点是不规范的,其它浏览器也未做出支持,但会助于开发基于window RT IE的应用程序。

的更改

满足某些限制条件的情况下,页面是可以修改它的源。脚本可以将 document.domain 的值设置为其当前域或其当前域的父域。如果将其设置为其当前域的父域,则这个较短的父域将用于后续源检查。

例如:假设 http://store.company.com/dir/other.html 文档中的一个脚本执行以下语句:

<span style="color:#333333"><code class="language-html">document.domain = "company.com";
</code></span>

这条语句执行之后,页面将会成功地通过与 http://company.com/dir/page.html 的同源检测(假设http://company.com/dir/page.html 将其 document.domain 设置为“company.com”,以表明它希望允许这样做 - 更多有关信息,请参阅 document.domain )。然而,company.com 不能设置 document.domain 为 othercompany.com,因为它不是 company.com 的父域。

端口号是由浏览器另行检查的。任何对document.domain的赋值操作,包括 document.domain = document.domain 都会导致端口号被重写为 null 。因此 company.com:8080 不能仅通过设置 document.domain = "company.com" 来与company.com 通信。必须在他们双方中都进行赋值,以确保端口号都为 null 。

注意:使用 document.domain 来允许子域安全访问其父域时,您需要在父域和子域中设置 document.domain 为相同的值。这是必要的,即使这样做只是将父域设置回其原始值。不这样做可能会导致权限错误。

跨源网络访问

同源策略控制不同源之间的交互,例如在使用XMLHttpRequest 或 <img> 标签时则会受到同源策略的约束。这些交互通常分为三类:

  • 跨域写操作(Cross-origin writes)一般是被允许的例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加 preflight
  • 跨域资源嵌入(Cross-origin embedding)一般是被允许(后面会举例说明)。
  • 跨域读操作(Cross-origin reads)一般是不被允许的但常可以通过内嵌资源来巧妙的进行读取访问。例如,你可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法,或availability of an embedded resource.

以下是可能嵌入跨源的资源的一些示例:

  • <script src="..."></script> 标签嵌入跨域脚本。语法错误信息只能被同源脚本中捕捉到。
  • <link rel="stylesheet" href="..."> 标签嵌入CSS。由于CSS的松散的语法规则,CSS的跨域需要一个设置正确的 HTTP 头部 Content-Type 。不同浏览器有不同的限制: IEFirefoxChromeSafari (跳至CVE-2010-0051)部分 和 Opera
  • 通过 <img> 展示的图片。支持的图片格式包括PNG,JPEG,GIF,BMP,SVG,...
  • 通过 <video> 和 <audio> 播放的多媒体资源。
  • 通过 <object>、 <embed> 和 <applet> 嵌入的插件。
  • 通过 @font-face 引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。
  • 通过 <iframe> 载入的任何资源。站点可以使用 X-Frame-Options 消息头来阻止这种形式的跨域交互。

如何允许跨源访问

可以使用 CORS 来允许跨源访问。CORS 是 HTTP 的一部分,它允许服务端来指定哪些主机可以从这个服务端加载资源。

如何阻止跨源访问

  • 阻止跨域写操作,只要检测请求中的一个不可推测的标记(CSRF token)即可,这个标记被称为 Cross-Site Request Forgery (CSRF) 标记。你必须使用这个标记来阻止页面的跨站读操作。
  • 阻止资源的跨站读取,需要保证该资源是不可嵌入的。阻止嵌入行为是必须的,因为嵌入资源通常向其暴露信息。
  • 阻止跨站嵌入,需要确保你的资源不能通过以上列出的可嵌入资源格式使用。浏览器可能不会遵守 Content-Type 头部定义的类型。例如,如果您在HTML文档中指定 <script>标记,则浏览器将尝试将标签内部的 HTML 解析为JavaScript。 当您的资源不是您网站的入口点时,您还可以使用CSRF令牌来防止嵌入。

跨源脚本API访问

JavaScript 的 API 中,如 iframe.contentWindow、 window.parentwindow.open 和 window.opener 允许文档间直接相互引用。当两个文档的源不同时,这些引用方式将对 Window 和 Location对象的访问添加限制,如下两节所述。

为了能让不同源中文档进行交流,可以使用 window.postMessage

规范: HTML Living Standard § Cross-origin objects 。

Window

 允许以下对 Window 属性的跨源访问:

方法
window.blur
window.close
window.focus
window.postMessage
属性 
window.closed只读.
window.frames只读.
window.length只读.
window.location读/写.
window.opener只读.
window.parent只读.
window.self只读.
window.top只读.
window.window只读.

某些浏览器允许访问除上述外更多的属性。

Location

允许以下对 Location 属性的跨源访问:

方法
location.replace
属性 
URLUtils.href只写.

某些浏览器允许访问除上述外更多的属性。

跨源数据存储访问

访问存储在浏览器中的数据,如 localStorage 和 IndexedDB,是以源进行分割。每个源都拥有自己单独的存储空间,一个源中的 JavaScript 脚本不能对属于其它源的数据进行读写操作。

Cookies  使用不同的源定义方式。一个页面可以为本域和其父域设置 cookie,只要是父域不是公共后缀(public suffix)即可。Firefox 和 Chrome 使用 Public Suffix List 检测一个域是否是公共后缀(public suffix)。Internet Explorer 使用其内部的方法来检测域是否是公共后缀。不管使用哪个协议(HTTP/HTTPS)或端口号,浏览器都允许给定的域以及其任何子域名(sub-domains) 访问 cookie。当你设置 cookie 时,你可以使用 DomainPathSecure、和 HttpOnly 标记来限定其可访问性。当你读取 cookie 时,你无法知道它是在哪里被设置的。 即使您只使用安全的 https 连接,您看到的任何 cookie 都有可能是使用不安全的连接进行设置的。

水塘月色
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript中同源策略的概念与相关应用注意事项,需要的朋友可以参考下
完整的url以及同源跨域处理
weixin_33972649的博客
03-01 264
前言:随着工作时间的增长,前面学过的东西开始慢慢遗忘,抽空的时候就将一些资料整理整理,顺一顺,也当作一种温习。我只是前端工匠,防止自己成为【一断网就无法工作的程序员】 url的完整结构 协议类型(protocol) 通过URL可以指定的主要有以下几种:http、ftp、gopher、telnet、file等 U...
什么是跨域中的同源
Java_web12138667的博客
05-14 371
什么是同源? 协议、ip地址(域名)、端口号全部相同,就是为同源 链接A:http://localhost:8080/index 连接B:http://localhost:8080/home 上边这两个链接的协议、ip地址、端口号全部相同,说明两个链接是同源。 什么是不同源? 协议、ip地址(域名)、端口号任意一项或多项不相同,就是不同源 链接A:http://localhost:8080/index 链接B:https://localhost:8080/index 链接C:http://localhos
关于url以及同源策略
zhouxiaojie_的博客
03-26 2506
url组成 例如:http://store.compang.com:81/dir/etc.html http:就是协议 store.compang.com:是域名/主机名 也就是存放资源的服务器的域名,主机名或者ip地址 :81:是端口号 默认是“80”,只有默认情况下才可以省略 /dir/etc.html:是文件路径 可选,一般用来表示主机上的一个目录或者文件地址。 ...
一文读懂“什么是同源
a549654065的博客
08-31 2061
此时会出现跨域不允许访问。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。,“元”,是指一些事物组合在一起形成一个整体,比如(1,2)叫二元,(1,2,3)叫三元)。的文档或者它加载的脚本与另一个源的资源进行交互,它能够帮助阻隔恶意文档,减少可能被攻击的媒介,可以使用。没有同源策略可能会造成CSRF攻击(跨站请求伪造)【攻击者盗用了你的身份,以你的名义发送恶意请求。在浏览器上当前访问的网站向另一个网站发送请求获取数据的过程就是。决定的,是一个重要的浏览器安全策略,用于限制一个。..
url指的是什么_什么是同源策略?如何解决跨域问题?什么是XSS跨站脚本攻击?...
weixin_39842617的博客
12-08 313
一. Ajax跨域问题跨域:只要协议、域名、端口有一个不同,就被当做不同的域。ajax跨域:利用ajax技术请求不同域名上的数据。1. 什么是同源策略同源策略是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。A网页设置的 Cookie,B网页不能打开,除非这两个网页“同源”。同源策略的作用:防止其他网页对本网页的非法篡改。同源指的是:协议、...
药食同源保健品滋补营养品行业分析.pdf
11-22
药食同源保健品滋补营养品行业分析.pdf 药食同源保健品滋补营养品行业分析.pdf 药食同源保健品滋补营养品行业分析.pdf 药食同源保健品滋补营养品行业分析.pdf 药食同源保健品滋补营养品行业分析.pdf 药食同源保健品...
基于c语言实现的对代码的同源性检测.zip
01-13
本次课程设计为了巩固上学期在软件安全课程上所学的安全知识,包括堆栈溢出、整数溢出等等,同时考察了一些课外的新事物,例如字符串匹配与CFG控制流程图的同源性检测。根本目的是让同学们加深对软件安全本门学科的...
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
【计算机网络-18】同源策略
飞鸽FlyGo-把自己作为一款产品来打磨,提升产品的体验,锻造出最好的自己。
06-01 375
禁止一个源(origin)的脚本和文档和另一个源的脚本和文档交互 两个URL的protocol、port和host相同,那么同源 思考:如何两个源产生过多交互会有什么问题?
dataCompare大数据对比之异源数据对比
诸葛子房的博客
01-06 1723
因此,能够非常明显的看到目前大数据对比平台功能只适用于数据迁移中的对比,而不适用于数据架构升级,比如说:本来Hive 存储的数据由于架构升级需要迁移到Iceberg 或者Doris 等等数据存储中。比如说:由于数据架构升级,之前的Hive(user_info_hive) 数据 升级到用Doris(user_info_doris) 进行存储(要求:表结构不变,只是数据存储升级)(1)最简单的方案,把数据弄到一起,也就是转成同源数据对比,但是这样明显很浪费时间,需要数据同步,同时也浪费存储。
数据同源解决
Ashley_lidan的博客
11-29 949
const old = [ ] //原数据 let news = JSON.parse(JSON.stringify(old)) //news 新数据 解决数据同源问题
跨域和同源详解
sky89299的博客
04-05 2392
跨域 同源策略 开发过程中主要遇到的同源问题,主要是比较两个url是否同源。 判断条件 协议是否相同(http、https、file) 主机地址是否相同(www.xxx.com 127.0.0.1) 端口(0~65535)http默认的电动车需按扣是80(可以不写),https默认端口是443 , MySQL默认的端口是3306 如果两个url协议、主机地址、端口都相同,那么这两个url同源,否则就是非同源同源受到限制: Cookie无法操作 DOM无法操作 Ajax请求无效(请求
浏览器的同源策略 同源的定义
MAIMIHO的博客
06-01 884
如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL同源。 示例: URL: http://store.company.com/dir/page.html URL 结果 原因 http://store.company.com/dir2/other.html 同源 只有路径不同 http://store.company.com/dir/inner/another.html 同源 只有路径不同 https://store.co
什么是同源???跨域错误???如何解决???
wxiao_xiao_miao的博客
09-19 1350
同源:指发出请求所在的页面 与 所请求的资源的url协议相同,域名相同,端口相同。 跨域错误:指不同源的ajax请求。 浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件时,就会出现跨域问题,从而导致ajax请求失败: (1)请求响应双方url同源。 从http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg 就是不同源的 。 (2)请求类型是xhr请求。就是常说的ajax请求。不.
同源策略和跨域访问
qgw_2000的专栏
05-03 3658
# Same Origin Policy Summary #     目前Restful的Web Service比较流行,项目中也经常用到。实现过程中遇到Ajax的跨域问题,在此对相关知识做个总结。 ## 1. 什么是同源策略 ##     理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。     何谓同源:         URL由协议、
解说同源策略和跨域访问
dawuafang
06-19 217
尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可。浏览器的各种保安措施之间都试图保持相互独立,但是攻击者只要能在出错的地方注入少许JavaScript,所有安全控制几乎全部瓦解——最后还起作用的就是最弱的安全防线:同源策略。同源策略管辖着所有保安措施,然而,由于浏览器及其插件,诸如Acrobat R...
如何理解web安全——同源策略
maggie_live的博客
04-27 7736
什么是同源策略?    浏览器同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行狡猾。    同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。只有同一个源的脚本赋予dom、读写cookie、session、ajax等操作的权限。url由协议、域名、端口和路径组成、如果两个url的协议、域名和端口相同,则这两个url同源的。限制来源不用源的...
同源及跨域问题解决
青涛依旧
07-19 2170
同源及跨域问题解决 1.同源策略 什么叫同源URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。相反,只要协议,域名,端口有任何一个的不同,就被当作是跨域。   同源策略  Same-Origin-Policy(SOP) 浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。换句话说浏览器禁止的是来自不同源的"document
SpringBoot 同源
最新发布
09-10
SpringBoot 同源策略是指浏览器对于不同源的请求会进行限制,只有在同源情况下才允许跨域请求。同源策略是浏览器的一种安全功能,它的目的是防止恶意网站通过脚本等方式获取用户的敏感信息。 在 SpringBoot 中,可以通过多种方式来实现跨域请求。其中,使用 `@CrossOrigin` 注解、使用 `WebMvcConfigurer` 接口以及使用 `CorFilter` 这三种方式是常见的方法。但需要注意的是,这些方式都要求 SpringMVC 版本在4.2以上,并且对应的 SpringBoot 版本要在1.3以上才能支持。 总结一下,SpringBoot 同源策略是浏览器的安全功能,用于限制不同源的请求。在 SpringBoot 中,可以通过使用注解、接口或过滤器等方式实现跨域请求。但需要注意版本要求以及对应的 SpringMVC 和 SpringBoot 版本要兼容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值