Web安全之同源策略与跨域访问

VIP文章 已于 2022-08-22 19:12:33 修改
阅读量3.9k 收藏 4
点赞数 1
分类专栏: JavaScript 文章标签: javascript Web安全 同源策略 跨域访问
于 2015-05-28 16:00:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tim_tsang/article/details/46124527
版权

古语云:“无规矩不成方圆”。同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

#一、怎样才算是同源
所谓同源是指域名(主机名或者IP地址)、端口、协议相同。不同的客户端脚本(JavaScriptActionScript)在没明确授权的情况下,不能读取对方的资源。

不同源的例子:
1. 域名(主机名或者IP地址)不同
http://news.company.com/index.htmlhttp://www.company.com/index.html不同源,域名不同,news子域与www子域不同。
http://company.com/index.htmlhttp://www.company.com/index.html 不同源,域名不同,顶级域与www子域不是一个概念。
2. 端口不同
http://www.company.com:8080/index.html
http://www.company.com/index.html不同源,端口不同,8080与默认的80端口不同。
3. 协议不同
https://www.company.com/index.html
http://www.company.com/index.html 不同源,协议不同,httpshttp是不同协议。
同源的例子:
http://www.company.com/a/c/index.html
http://www.company.com/b/d/index.html 属于同源,域名,端口,协议均相同。
#二、IE特例
在处理同源策略的问题上,IE存在两个主要的不同之处。
1. 授权范围(Trust Zones)
两个相互之间高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
2. 端口
IE并没有将端口号加入到同源策略的组成部分之中,因此,https://www.company.com/index.html
http://www.company.com/index.html 属于同源并且不受任何限制。

这些例外都是非标准的,其他也并未作出支持
#三、读写权限
Web上的资源有很多,有的只有读权限,有的同时拥有读和写的权限。比如:HTTP请求头里的Referer(表示请求来源)只可读,同源和不同源就是根据这个Referer值进行判断的, 而document.cookie则具备读写权限。这样的区分也是为了安全上的考虑。

注意:Cookie中的同源只关注域名,忽略协议和端口。所以https://localhost:8080/http://localhost:8081/Cookie是共享的。
#四、同源策略示例
如果是打开百度,在控制台中请求CSDN的网页的话,会报下面的异常:
Chrome中会报下面的异常:

Chrome中报的错

IE中会报下面的异常:

IE中报的错
#五、跨域访问资源
####1. Ajax跨域(CORS)
Ajax主要是通过XMLHttpRequest对象与远程的服务器进行信息交互的。但是XMLHttpRequest受到同源策略的约束,不能跨域访问资源。
如果XMLHttpRequest能够跨域访问资源,则会导致安全问题。因为XMLHttpRequest是一个纯粹的JavaScript对象,如果某网站存在漏洞导致XSS注入了JavaScript脚本,这个脚本就可以通过Ajax获取用户的信息并通过Ajax提交到其他站点。
但是XMLH

最低0.47元/天 解锁文章
tim_tsang
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅析同源策略跨域访问
11-22
 理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。  同源...
前端常见的跨域解决方案
qq_24832277的博客
06-29 2117
一、什么是跨域 专业的解释是,两个不同源的服务去访问对方的资源,就是所谓的跨域,而浏览器处于安全方面的考虑是不允许跨域请求的 跨域非服务端控制的,而是浏览器的安全策略,当发生跨域请求时候,请求是可以正常发送到对方服务器的,只是浏览器会根据 ”Access-Control-Allow-Origin" 来判断当前域名是否有访问权限,从而决定是否解析返回的数据信息。 其中简单的说就跨域是浏览器不会解析跨域请求返回的数据。 二、什么是同源 同源是指协议、域名、端口都相同 URL
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 1806
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
Web- 同源策略(Same-Origin Policy, SOP)
青衫客36的博客
02-19 1061
协议(Protocol):例如,HTTPHTTPS。域名(Host):例如,。端口(Port):例如,80(HTTP的默认端口)、443(HTTPS的默认端口)。只有当这三部分完全匹配时,两个 URL 才属于同一个源。
web安全基础之同源限制
qtttgeq的博客
05-19 175
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”。协议相同域名相同端口相同(这点可以忽略,详见下文)举例来说,这个网址,协议是http://,域名是,端口是80(默认端口可以省略),它的同源情况如下。:同源不同源(域名不同):不同源(域名不同):不同源(端口不同):不同源(协议不同
什么是同源???跨域错误???如何解决???
wxiao_xiao_miao的博客
09-19 1350
同源:指发出请求所在的页面 与 所请求的资源的url协议相同,域名相同,端口相同。 跨域错误:指不同源的ajax请求。 浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件时,就会出现跨域问题,从而导致ajax请求失败: (1)请求响应双方url不同源。 从http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg 就是不同源的 。 (2)请求类型是xhr请求。就是常说的ajax请求。不.
同一个浏览器打开不同端口的程序登录_浏览器同源策略以及Script Error错误
weixin_39643338的博客
11-26 207
浏览器同源策略以及Script Error错误同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。一个源的定义如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。下表给出了相对http://store.company.com/dir/page.html同源检测的示例:| URL | 结果 | 原因 | | -...
跨域问题的分析
放弃很容易,坚持很难。
12-15 2007
跨域
同源策略简介
qq_51515209的博客
11-28 967
同源策略简介
跨域&同源
weixin_58732695的博客
07-25 464
同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。而同源策略就会阻止这种行为,当网站B向网站A请求cookie时,浏览器会检测B和A是否同源,如果非同源就会拒绝该请求,B无法获取A网站的cookie。同源策略是针对浏览器的,如果没有同源策略,用户登录网站A,再去网站B,网站B就会读取A的cookie,再用这个cookie伪造成用户登陆A网站。导入在app创建之前导入。...
JavaScript同源策略跨域访问实例详解
01-19
本文实例讲述了JavaScript同源策略跨域访问。分享给大家供大家参考,具体如下: 1. 什么是同源策略 理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 何谓同源: URL由...
origin-storage:跨域访问同源存储(IndexedDBWebSQLlocalStorage)
05-17
一个用于跨域访问同源存储,它基于localForage,并支持IndexedDB,WebSQL和localStorage。 origin-storage在不支持IndexedDB或WebSQL的浏览器中使用localStorage。 并且不支持Safari。 目录 动机 当不同的网站域...
JSONP跨域GET请求解决Ajax跨域访问问题
12-03
前几天,工作上有一新需求,需要前端web页面异步调用后台的Webservice方法返回信息。...在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaSc
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 534
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 812
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
element-ui的bug记录
nick_zhang的博客
04-29 393
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
vue快速入门(五十)重定向
不起眼小菜菜的博客
05-03 184
注释很详细,直接上代码……
bpmn-js推荐几款常用的插件
飞云先生
04-30 83
bpmn-js整体框架库的风格是以组件的方式进行实现的,这样的结构也更加便于我们更好的对其进行功能扩展,以及客制化功能实现。其实bpmn.io已经为我们实现了较多场景的组件的实现,了解对应组件的功能更能便于我们区分是否需要自己实现,降低重复造轮子的行为,提高开发效率,本篇文章主要是介绍常见的bpmn-js中使用的组件库。
规避同源策略 iframe
08-03
规避同源策略主要是为了保护用户的安全和隐私,在Web应用中防止恶意网站对其他网站的攻击。同源策略指的是浏览器限制了来自不同源(域名、协议、端口)的网页之间的交互与访问。 为了规避同源策略的限制,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值