浏览器的同源策略

最新推荐文章于 2024-07-09 15:56:24 发布
最新推荐文章于 2024-07-09 15:56:24 发布
阅读量57 收藏
点赞数
文章标签: web安全 javascript ViewUI
原文链接:http://www.cnblogs.com/michaelkai/archive/2013/06/15/3137247.html
版权

    浏览器不仅能呈现画面,它还制定了一些安全策略,这些策略有效地保障了用户计算机的本地安全与Web安全。

    同源策略:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源;

    1. 不同域或同域,同域要求两个站点同协议,同域名,同端口

    2.客户端脚本

  • 主要指Javascript与Actionscript都遵循的ECMAScript脚本标准,Flash提供的通信接口,使得这两个脚本语言可以很方便地互相通信。客户端的攻击几乎都是基于这两个脚本语言进行的,当然JavaScript 是最广泛的。

    3.授权

  • 一般情况下,看到这个词,我们往往会想到服务端对客户端访问的授权。客户端也存在授权现象,比如,HTML5新标准中提到关于AJAX跨域访问的情况,默认情况下是不允许跨域访问的,只有目标站点明确返回HTTP响应头:Access-Control-Allow-Origin: http://www.evil.com     那么www.evil.com 站点上的客户端脚本就有权通过AJAX技术对目标网站上的数据进行读写操作。(AJAX也是黑客进行Web客户端攻击常用的技术,这样便可以悄无声息地在浏览器后台进行)

    4.读写权限

  • Web上的资源有很多,有得只有读权限,有得同时拥有读和写的权限,比如:HTTP请求头里的Referer(表示请求来源)只可读,而document.cookie则具备读写权限。这样区分也是为了安全上的考虑。

     5.资源

  • 这是一个很广泛的概念,只要是数据,都可以认为是资源。同源策略里的资源是指Web客户端的资源,一般来说,它主要包括:HTTP消息头,整个DOM树,浏览器存储(如:Cookies,Flash Cookies, localStroage等)。客户端安全威胁都是围绕这些资源进行的。(DOM的出现大大方便了JavaScript进行读写操作,Web客户端的攻击也几乎离不开DOM操作)

转载于:https://www.cnblogs.com/michaelkai/archive/2013/06/15/3137247.html

weixin_30799995
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浏览器同源策略
JUSTIN的博客
03-22 384
前言 同源政策:起源被定义为URI方案,主机名和端口号的组合。此策略可防止一个页面上的恶意脚本通过该页面的文档对象模型访问另一个网页上的敏感数据。 由于服务器基于HTTP cookie信息来揭示敏感信息或采取改变状态的行为,因此这种机制对于广泛依赖于HTTP cookie 的现代Web应用程序来维护经过验证的用户会话具有特殊意义。(维基百科) (一)慨念 所谓的同源指的是“三个相同” ...
同源策略
weixin_30510153的博客
06-27 526
同源策略 同源策略浏览器的一个安全功能,不同源的客户端脚本明确授权情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 已经接收到了请求并返回了响应,是浏览器对非同源请求返回的结果做了拦截 一...
如何理解web安全——同源策略
maggie_live的博客
04-27 7773
什么是同源策略?    浏览器同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行狡猾。    同源策略浏览器的一个安全功能,不同源的客户端脚本明确授权情况下,不能读写对方资源。只有同一个源的脚本赋予dom、读写cookie、session、ajax等操作的权限。url由协议、名、端口和路径组成、如果两个url的协议、名和端口相同,则这两个url是同源的。限制来源不用源的...
Web安全面试题(一)-含解答
热门推荐
qq_30384029的博客
11-08 1万+
Web安全面试题-含解答DomainAjaxSQLiXSSPHPCSRFHTML5JAVA Domain 1、解释一下同源策略 源:协议、名、端口 同源:若地址中的协议、名、端口都相同,即为同源。反之,有一者不同即为不同源。 同源策略:为浏览器的一个安全功能,不同源的客户端脚本明确授权情况下,无法读写对方的资源。 2、哪些东西是可以同源获取的? 页面的链接、重定向、表单提交 跨资...
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
详解基于浏览器同源策略的几种跨方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
在《Collabtive系统浏览器同源策略探索实验》中,你将有机会亲自运行源代码,体验同源策略如何影响跨通信。源码的分析和实践将帮助你更好地掌握这一概念,同时,设计说明书会提供理论背景和具体步骤,指导你如何...
js同源策略详解
12-10
本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下: 概念:同源策略客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个...
自学黑客(网络安全
xv7676的博客
07-09 569
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。此时我们的选择也可以很多,比如CSDN,比如知乎,再比如B站,都有很多人在分享自己的学习资料,但我觉得这里存在的很大一个问题就是不连贯、不完善,大部分免费分享的教程,都是东一块西一块,前言不搭后语,学着学着就蒙了,这是我自学之后的亲身感受。当然现在市面上很多网站都是PHP的开发的,所以选择PHP也是可以的。
CTF实战:从入门到提升
hackeroink的博客
07-02 952
13章为第4篇Reverse逆向工程,主要介绍了逆向工程基本概念、计算机相关原理、逆向相关基础、常规逆向分析思路、反调试对抗技术等内容;第14~17章为第5篇PWN,主要介绍了基础环境准备、栈溢出、堆溢出等漏洞的原理与利用。本书所有案例都配有相关实践内容,能够更有效地帮助读者进一步理解相关技能。本书旨在帮助读者相对快速且完整地构建一个CTF实战所需的基础知识框架,并通过案例学习相关技能,完成从入门到提升,适合所有网络安全爱好者及从业者参考阅读,也可作为高等院校网络安全相关实践课程的参考用书。
印尼网络安全治理能力观察
网络研究观
07-05 1091
这不是第一次,而且很可能也不会是最后一次。
解读网络安全公司F5:助企业高效简化多云和应用部署
最新发布
hanniuniu13的博客
07-09 238
在全球迈入数字时代和深入推进产业数智化的当下,F5在全球确立了应用交付、现代应用、应用安全、分布式云四个战略业务方向后,F5一直在积极推进该项战略在中国的落地。、简化已有的网络战略的具体实践中,F5与WWT和Google Cloud合作,利用解决方案帮助客户在多云环境中管理错综复杂的应用交付和安全问题。在WWT的实施支持和Google Cloud的基础设施基础之上,再运用F5提供的安全解决方案,让企业在过渡到云环境并在云环境中扩展时,能够保持一致的安全措施和卓越的用户体验。
中职网络安全B模块渗透测试server2003
网络安全技术分享
07-09 456
将sam.hive和system.hive文件复制到win7的c盘根目录然后使用mimikatz工具提取。使用nmap扫描发现目标靶机开放端口232疑似telnet直接进行连接测试成功。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1049
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全主动防御技术与应用
weixin_48579910的博客
07-05 1170
入侵阻断技术是保护网络和系统免受各种网络攻击的关键措施。通过部署和配置NGFW、IDS/IPS、行为分析、网络隔离、恶意软件防护和零信任安全架构等技术,组织可以有效防御各种网络威胁。结合持续监控、定期评估和改进措施,可以增强整体网络安全性,保护关键资产和敏感数据。软件白名单技术是一种主动的安全措施,通过严格控制允许运行的应用程序,有效防止恶意软件和未经授权的软件执行。尽管管理复杂性较高,但其预防性和严格控制特性使其成为高安全性环境中的重要安全工具。
web 网络安全
weixin_43506403的博客
07-09 820
Web网络安全是网络安全的一个重要分支,专注于保护Web应用程序、服务和网站免受各种网络威胁。
利用script向网站发送get请求时 浏览器同源策略会导致什么问题
06-09
如果使用 script 标签向网站发送 GET 请求,由于浏览器同源策略的限制,只能获取与当前网页同源的数据,不能获取跨数据。这是因为 script 标签的 src 属性指向的 URL 地址必须与当前网页的名、协议和端口号完全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值