古语云:“无规矩不成方圆”。同源策略(Same origin policy
)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
#一、怎样才算是同源
所谓同源是指域名(主机名或者IP地址)、端口、协议相同。不同的客户端脚本(JavaScript
、ActionScript
)在没明确授权的情况下,不能读取对方的资源。
不同源的例子:
1. 域名(主机名或者IP地址)不同
http://news.company.com/index.html
与http://www.company.com/index.html
不同源,域名不同,news
子域与www
子域不同。
http://company.com/index.html
与http://www.company.com/index.html
不同源,域名不同,顶级域与www
子域不是一个概念。
2. 端口不同
http://www.company.com:8080/index.html
与
http://www.company.com/index.html
不同源,端口不同,8080
与默认的80
端口不同。
3. 协议不同
https://www.company.com/index.html
与
http://www.company.com/index.html
不同源,协议不同,https
与http
是不同协议。
同源的例子:
http://www.company.com/a/c/index.html
与
http://www.company.com/b/d/index.html
属于同源,域名,端口,协议均相同。
#二、IE特例
在处理同源策略的问题上,IE存在两个主要的不同之处。
1. 授权范围(Trust Zones)
两个相互之间高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
2. 端口
IE并没有将端口号加入到同源策略的组成部分之中,因此,https://www.company.com/index.html
与
http://www.company.com/index.html
属于同源并且不受任何限制。
这些例外都是非标准的,其他也并未作出支持
#三、读写权限
Web上的资源有很多,有的只有读权限,有的同时拥有读和写的权限。比如:HTTP请求头里的Referer(表示请求来源)只可读,同源和不同源就是根据这个Referer值进行判断的, 而document.cookie
则具备读写权限。这样的区分也是为了安全上的考虑。
注意:
Cookie
中的同源只关注域名,忽略协议和端口。所以https://localhost:8080/
和http://localhost:8081/
的Cookie
是共享的。
#四、同源策略示例
如果是打开百度,在控制台中请求CSDN的网页的话,会报下面的异常:
Chrome
中会报下面的异常:
IE
中会报下面的异常:
#五、跨域访问资源
####1. Ajax跨域(CORS
)
Ajax
主要是通过XMLHttpRequest
对象与远程的服务器进行信息交互的。但是XMLHttpRequest
受到同源策略的约束,不能跨域访问资源。
如果XMLHttpRequest
能够跨域访问资源,则会导致安全问题。因为XMLHttpRequest
是一个纯粹的JavaScript
对象,如果某网站存在漏洞导致XSS
注入了JavaScript
脚本,这个脚本就可以通过Ajax
获取用户的信息并通过