一文了解JSONP和CORS的同源策略、jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域。
#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################
同源策略
在说jsonp和cors之前,先说说同源策略
同源策略是浏览器的一个重要安全策略,如果两个 URL的协议、域名、端口都相同,则认为是同源,如MDN上的描述
JSONP
jsonp是实现跨域的一种方法,它利用了script、iframe、img等标签的src属性不受同源策略约束的特性来跨域获取数据
jsonp包含两部分,其中网站A需要构造一个回调函数处理数据,并将回调函数名传递给网站B
<