浏览器同源策略的行为限制以及规避方法

最新推荐文章于 2024-07-29 08:40:47 发布
最新推荐文章于 2024-07-29 08:40:47 发布
阅读量5.3k 收藏 6
点赞数 3
分类专栏: javascript复习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web_yh/article/details/71522197
版权 

本文参考自阮一峰老师的文章链接在此http://www.ruanyifeng.com/blog/2016/04/cors.html
一、简单介绍同源策略,即三个相同:
	协议相同,域名相同,端口相同。
二、同源策略主要带来三个方面的行为限制:
	1、cookie,localstorage和IndexDB无法读取
	2、DOM无法获取
	3、Ajax请求不能发送
三、规避方法
	1、cookie的读取: 如果两个网页的一级域名一样,二级域名不同。此时可以通过设置document.domain来共享cookie,举个栗子:
	    A网页域名:https:\\a.example.com B网页域名:https:\\b.example.com
	    此时A、B网页js脚本同时设置document.domain = "example.com";
	    现在A页面设置cookie: docuemnt.cookie = "title=hello";
	    此时B页面就可以通过 document.cookie读取到A页面设置的cookie。
	还可以在服务器设置cookie的时候指定cookie所属域名为一级域名,这样在二级、三级域名下就不用做任何设置就可以读取到这个cookie
   	注意事项:
	    1、这种方式只适用于一级域名相同
	    2、只适用于cookie和iframe,localstorage与IndexDB无法使用。
	2、localstorage和IndexDB读取
	   通过H5的postMessage读写其他窗口的localstorage.举个例子
 	   父窗口https://a.com 子窗口https://b.com
           父窗口向子窗口发送消息:
           var win = document.getElementsByTagName('iframe')[0].contentWindow;
           var obj = { name: 'Jack' };
           win.postMessage(JSON.stringify({key: 'storage', data: obj}), 'http://bbb.com');
           子窗口写入父窗口的localStorage
           window.onmessage = function(e){
               if(e.orgin !== "https://b.com"){
                  return;
               }
           var data = JSON.parse(e.data);
	   localstorage.setItem(data.key,JSON.stringify(data.data));
	  }
	3、DOM的获取
	    三种规避方法:1、片段识别符;2、window.name;3、window.postMessage
	    1、片段识别符
	    片段识别符值的是url的#后面的部分,这一部分的改变不会引起页面的刷新,但这一个变化可以通过window.onhaschange监听到。因此父窗口可以
把信息写到子窗口的片段标识符中。如:
	    父窗口发送信息
               var src = orginURL + "#" + data;       
		document.getElementById("myIFrame").src = src;

            子窗口接受信息
	       window.onhaschange = function(){
		   var message = window.location.hash;
	       }
	    同样地子窗口也可以改变父窗口片段标识符
	    2、window.name
    		window.name:不管是否同源,只要在同一个窗口,前一个网页设置了,后一个网页就可以读取到
		父窗口先打开一个子窗口,载入一个不同源的网页,该网页将信息写入window.name属性。
		    window.name = data;
	        接着,子窗口跳回一个与主窗口同域的网址。
		   location = 'http://parent.url.com/xxx.html';
		然后,主窗口就可以读取子窗口的window.name了。
		   var data = document.getElementById('myFrame').contentWindow.name;
	    这种方法的优点是,window.name容量很大,可以放置非常长的字符串;缺点是必须监听子窗口window.name属性的变化,影响网页性能。
	    3、postMessage
		此方法可参考localstorag。
	4、Ajax
	   1、jsop
		基本思想是,网页通过添加一个<script>元素,向服务器请求JSON数据,这种做法不受同源政策限制;服务器收到请求后,将数据放在一个指定名字的回调函数里传回
	    客户端代码:
	<script>
    	function mycall(data){
        	console.log(data);
    	}
   	 function addScriptTag(src) {
        	var script = document.createElement("script");
        	script.setAttribute("type", "text/javascript");
       		script.src = src;
        	document.body.appendChild(script);
    	}
    	addScriptTag('http://127.0.0.1:3000/?callback=mycall');
	</script>
	服务器端为node.js代码:
	app.get('/',function(req,res){
   		var callback = req.query.callback;
   	 	var data = 11;
   	 	res.send(callback+"("+data+")");
   	 	res.end();
	});
	   2、websocket
		WebSocket是一种通信协议,使用ws://(非加密)和wss://(加密)作为协议前缀。该协议不实行同源政策,只要服务器支持,就可以通过它进行跨源通信。
下面是一个例子,浏览器发出的WebSocket请求的头信息。
		GET /chat HTTP/1.1
		Host: server.example.com
		Upgrade: websocket
		Connection: Upgrade
		Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
		Sec-WebSocket-Protocol: chat, superchat
		Sec-WebSocket-Version: 13
		Origin: http://example.com
上面代码中,有一个字段是Origin,表示该请求的请求源(origin),即发自哪个域名。
正是因为有了Origin这个字段,所以WebSocket才没有实行同源政策。因为服务器可以根据这个字段,判断是否许可本次通信。如果该域名在白名单内,服务器就会做出如下回应。


		HTTP/1.1 101 Switching Protocols
		Upgrade: websocket
		Connection: Upgrade
		Sec-WebSocket-Accept: HSmrc0sMlYUkAGmm5OPpG2HaGWk=
		Sec-WebSocket-Protocol: chat

	3、CORS
	是解决ajax跨域的根本方法,具体请参考阮一峰老师的http://www.ruanyifeng.com/blog/2016/04/cors.html

WEB_YH
关注
专栏目录
top.location.href 没有权限 解决方法
09-06
通常,当你尝试在A域名的页面中通过`top.location.href`改变顶级窗口的URL到B域名时,如果A和B不在同一个源(协议、域名和端口必须完全相同),浏览器会根据同源策略限制这种操作,以保护用户的安全和隐私。...
同源策略保护了什么、如何规避同源限制
weixin_45543674的博客
03-27 5206
同源策略保护了什么、如何规避同源限制 基本照抄阮一峰的博客:浏览器同源政策及其规避方法 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它帮助阻隔恶意文档,减少可能被攻击的媒介。 例如cookie窃取,如果没有同源策略,当用户从网站a退出,进入另一个网站b时,网站b可能就拿到了用户在网站a中存储的cookie,泄露了用户的信息或伪装成用户向网站a的后端发送请求。 同源的要求:协议、域名、端口号相同 要求同源的场景: 如果不同源,以下三种行为会受到
LocalStorage受到同源策略限制,是怎么实现单点登录的
qq_16607641的博客
06-01 722
LocalStorage 单点登录
浏览器同源策略详解、主流的跨域解决方案、深入理解跨域请求概念及其根因
最新发布
liangzhenmeng的博客
07-29 6万+
跨域问题其实就是浏览器同源策略造成的。同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要的安全机制。协议端口号域名必须一致。下表给出了与 URLURL是否跨域原因同源完全相同同源只有路径不同跨域协议不同跨域端口不同 ( http:// 默认端口是80)跨域主机不同同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致。
localStorage和sessionStorage区别(包括同源的定义)
u011927449的博客
04-30 1495
localStorage和sessionStorage一样都是用来存储客户端临时信息的对象。 他们均只能存储字符串类型的对象(虽然规范中可以存储其他原生类型的对象,但是目前为止没有浏览器对其进行实现)。 localStorage生命周期是永久,这意味着除非用户显示在浏览器提供的UI上清除localStorage信息,否则这些信息将永远存在。 sessionStorage生命周期为当前窗口...
cookie、localStorage、sessionStorage三种客户端存储方式
jjjh968的博客
09-14 2315
cookie cookie是http协议下,服务端或者脚本可以维护客户端信息的一种方式。 域、路径、失效时间和安全性都是服务器给浏览器的指示,它们不会随着请求发送给服务器,发送给服务器的只有名称与值对。 sessionStorage(会话存储) 同源策略: 不同于 Cookie, sessionStorage 访问限制更高,只有当前设定了 sessionStorage 的域下才能访问。单标签页: 两个相同域下的标签页不能互通。 即:在关闭标签页或者新开的标签页下都不能访问之前写下的 sessionS
localStorage使用总结
weixin_33675507的博客
06-26 5227
一、什么是localStorage、sessionStorage 在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,解决了cookie存储空间不足的问题(cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器中localStorage会有所不同。   二、localStorag...
JavaScript框架篇——SessionStorage和LocalStorage
weixin_45273807的博客
08-13 293
1.什么是SessionStorage和LocalStorage 和Cookie一样, SessionStorage和LocalStorage也是用于存储网页中的数据的 2.Cookie、 SessionStorage、LocalStorage区别 2.1生命周期(同一浏览器下) Cookie生命周期: 默认是关闭浏览器后失效, 但是也可以设置过期时间 SessionStorage...
使用无括号的XSS绕过CSP策略研究 .pdf
09-05
标题中的“使用无括号的XSS绕过CSP策略研究”是指在网络安全领域中,攻击者尝试利用一种特殊类型的跨站脚本(XSS)攻击来规避内容安全策略(Content Security Policy,简称CSP)的防御机制。CSP是一种有效的防止XSS...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options 是一种网络安全策略,它通过设置HTTP响应头来控制浏览器是否可以在iframe或frame标签中展示页面内容。这一特性旨在防止点击劫持(Clickjacking)攻击,即攻击者利用透明iframe覆盖目标网页,诱使...
Enable website display in iframe-crx插件
04-06
这个插件对于那些因为安全策略(如Content Security Policy,CSP)或者同源策略(Same-Origin Policy)而限制在iframe内加载的网站尤其有用。下面我们将深入探讨这个插件的工作原理、相关的网页技术以及它如何帮助...
Webkit的跨域安全问题说明
10-28
在尝试解决这一问题时,开发者可能会试图通过修改document.domain来规避浏览器同源策略,但这一策略在Webkit内核浏览器中似乎也不太有效。修改document.domain主要是为了让来自不同子域的页面能够互相访问对方的...
存储机制: Cookie、localStorage 和 sessionStorage 在一些关键属性和用途方面的区别
青轩桃李能几何,流光欺人忽蹉跎
08-16 166
Cookie 是一种在客户端存储数据的小型文本文件。- Cookie 通常用于存储和返回与用户相关的信息。- localStorage 是 Web 浏览器提供的一种在客户端持久存储数据的机制。- localStorage 允许开发者在用户浏览器中存储和获取数据,供后续访问和使用。- sessionStorage 是 Web 浏览器提供的一种在客户端临时存储数据的机制。- sessionStorage 允许开发者在用户浏览器中存储和获取数据,供同一窗口或标签页的后续访问和使用。
浏览器同源策略
DcTbnk的博客
04-26 281
一.定义 同源策略,只限制 ajax请求,不限制 超链接和form表单等跳转 浏览器对于ajax请求,有限制 如果 ajax请求的 url地址 与当前 地址 请求协议不同 url地址源不同 要求在同一个文件夹下,路径是相同的 端口号不同 浏览器都视为 跨域请求 只能发送请求,但是不能获取响应体内容 如果不在同一个文件夹下,也会被视为不是同源文件 ajax请求会进行判...
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8291
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
【前端】如何解决同源策略背景下的单点登陆问题?
Cyrios_ykx的博客
10-23 411
同源策略、iframe、单点登陆、前端存储、安全
sessionStorage 、localStorage 和 cookie 之间的区别
qq_32907491的博客
09-17 210
都是保存在浏览器端,且同源的。
浏览器同源政策及其规避方法
weixin_30693683的博客
06-20 110
浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指...
三大缓存技术--localStorage、sessionStorage、Cookie
qq_56668869的博客
07-25 1088
前端三大缓存技术、客户端存储、cookie、localStorage、sessionStorage、三者的区别
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值