浏览器同源策略及Cookie的作用域

最新推荐文章于 2024-01-19 22:48:28 发布
最新推荐文章于 2024-01-19 22:48:28 发布
阅读量82 收藏 1
点赞数
文章标签: java 运维

所谓"同源"指的是"三个相同":

1.协议相同
2.域名相同
3.端口相同

当着三个地方相同才算同源

例如:http://www.example.com:8888/dir/page.html

协议是http://
域名是www.example.com
端口是8888

采用同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。

如果其他网站可以读取A网站的 Cookie,会发生什么?如果 Cookie包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用

户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。由此可见,"同源政

策"是必需的,否则Cookie 可以共享,互联网就毫无安全可言了

 

缺点:如果不是同源

(1)Cookie、LocalStorage和IndexDB 无法读取
(2)DOM无法获得
(3)AJAX请求不能发送

Cookie的作用域:

Cookie有两个很重要的属性:Domain和Path,用来指示此Cookie的作用域:

  Domain告诉浏览器当前要添加的Cookie的域名归属,如果没有明确指明则默认为当前域名,比如通过访问www.vinceruan.info添加的Cookie的域名默认就是www.vinceruan.info,通过访问blog.vinceruan.info所生成的Cookie的域名就是blog.vinceruan.info

  Path告诉浏览器当前要添加的Cookie的路径归属,如果没有明确指明则默认为当前路径,比如通过访问www.vinceruan.info/java/hotspot.html添加的Cookie的默认路径就是/java/,通过blog.vinceruan.info/java/hotspot.html生成的Cookie的路径也是/java/

浏览器提交的Cookie需要满足以下两点:

1.当前域名或者父域名下的Cookie;
2.当前路径或父路径下的Cookie

要满足以上两个条件的Cookie才会被提交,例如:

当访问blog.vinceruan.info时

这里需要注意的是:在浏览器看来.

www.vinceruan.info不是blog.vinceruan.info的父域名,而vinceruan.info才是blog.vinceruan.info的父域名,

www.vinceruan.info也算是一个二级域名

这点如果你提交过域名到DNS服务器商的应该会知道,一般我们需要显式提交www.vinceruan.info和vinceruan.info, 否则www.vinceruan.info==vinceruan.info是不成立的

所以如果我们需要在所有二级域名下共享islogin=1的Cookie,用java代码如下:

如果要在所有的二级域名下的/java/路径下共享silogin=1的Cookie,用java代码如下:

 

weixin_33895695
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
JavaScript(Ajax)和Cookie同源策略
云计算?
01-20 120
一个URL由四部分组成,拿http://blog.csdn.net/yanical来说(http的默认端口是80,https的默认端口是443。如果是默认端口,可以省略,所以这个URL等价于http://blog.csdn.net:80/yanical) 协议:http 主机:blog.csdn.net 端口:80 路径:/yanical 所谓的同源就是要求这个URL的协议,主机,端口三...
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 352
三、跨域的处理方式(3种)
浏览器Cookie策略
weixin_40270125的博客
04-27 8022
浏览器所持有的Cookie分为两种:一种是"Session Cookie", 又称作“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。 两者的区别在于,Third-party Cookie是服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会消失,所以这种Cookie会保存在本地;而Session Co...
浏览器cookie策略
weixin_43952190的博客
11-30 926
浏览器所有的Cookie分为两种:一种是“Session Cookie”,又称“临时Cookie”;另一种是“Third-party-Cookie”,也称为“本地Cookie”; 两者的区别在于“Third-party-Cookie”是服务器在set-Cookie时指定了EXpire时间,只有到了Expire时间后Cookie才会失效,所以这种Cookie会保存在本地;而Session Cooki...
javacookie的详解及简单实例
08-31
要指定Cookie作用域,可以使用`setPath(String path)`方法,如让Cookie在整个应用程序可用: ```java cookie.setPath("/"); ``` 最后,通过`HttpServletResponse`的`addCookie(Cookie cookie)`方法将Cookie...
javacookie的操作.doc
01-15
使用`setPath(String path)`方法可指定Cookie作用域。例如:`cookie.setPath("/");`表示整个应用程序都可以访问此Cookie。不设置路径则只有设置Cookie的路径及其子路径可以访问。 4. **添加Cookie到响应**: - ...
JavaScript实现基于Cookie的存储类实例
10-24
类的构造函数接受两个参数:`maxage`表示Cookie的有效期(以秒为单位),`path`是Cookie作用域。内部首先通过一个函数获取当前页面的所有Cookie,并将其存储在一个名为`cookies`的对象中。 `keys`数组用于存储...
PHP实现cookie跨域session共享的方法分析
10-16
由于同源策略的限制,直接设置`domain`无法实现跨主域的Cookie共享。但是,可以利用iframe实现跨域通信。 以下是一个使用iframe的示例: 1. 在`a.com/login.php`中,登录成功后设置Cookie `sso`,并嵌入一个指向`b...
海康威视财务面试题及答案.docx
10-29
跨域是指一个域下的文档或脚本尝试请求另一个域下的资源时,浏览器基于同源策略限制这种行为。可以通过CORS(跨源资源共享)、JSONP、代理服务器等方式解决跨域问题。 6. **this的指向问题?** JavaScript中的`...
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2617
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
Cookie同源策略
最新发布
Nanki_的博客
01-19 672
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
同源策略介绍
weixin_44174581的博客
08-11 1758
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
浏览器Cookie详解
syzdev的博客
04-01 3629
1 Cookie是什么 参考:HTTP cookies - MDN HTTP Cookie(也叫 Web Cookie浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据(一般为4KB),它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。 2 Cookie产生的背景 Cookie的诞生是为了弥补HTTP无状态的缺点,所谓无状态,
AJAX异步交互 同源策略跨域 Cookie
amuist_ting的博客
09-08 239
核心 XMLHttpRequest XMLhttpRequest对象用于与服务器交互 通过XMLHttpRequest可以在不刷新页面的情况下请求特定URL,获取数据;这允许网页在不影响用户操作的情况下,更新页面的局部内容 let xhr = new XMLHttpRequest(); --xhr.open(method, url, flag) method 请求方式 url 请求地址 --xhr.onreadystatechange 当readyState属性发生变化时触发 xhr.onr
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 988
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
web安全day48:session和cookie同源策略的初步理解
小梁的博客
01-17 1565
请求头 HOST:用于指定被请求资源的Internet主机和端口号 user-agent:浏览器指纹 referer:当前页面的上一个页面,如果是直接访问,则此项为空 下面是一个get页面 GET /post.html HTTP/1.1 Host: 192.168.1.3 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML,
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3262
对应cookie来说,浏览器同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
cookie的测试点
09-15
对于cookie的测试点,我们可以考虑以下几个方面: 1. Cookie的设置和读取:测试是否可以正确设置cookie,并能够在后续请求中正确读取已设置的cookie。 2. Cookie的过期和失效:测试当cookie过期时,是否能够正确地使其失效,不再被使用。 3. Cookie作用域:测试cookie在不同子域或路径下的作用范围,确保cookie在指定的子域或路径下可用。 4. Cookie的安全性:测试是否设置了"Secure"标志,以确保cookie只通过HTTPS连接传输。 5. Cookie的HTTP Only属性:测试是否设置了"HTTP Only"属性,以防止通过JavaScript读取cookie,增强安全性。 6. Cookie的大小限制:测试cookie的大小限制,确保在超过限制时能够正确处理。 7. Cookie同源策略:测试是否严格遵守同源策略,防止跨站点脚本攻击。 8. Cookie的删除和清除:测试是否能够正确删除和清除cookie,包括单个cookie和所有cookie。 9. Cookie的持久性:测试是否可以设置持久性cookie,即在浏览器关闭后仍然保留有效。 10. Cookie的并发性:测试在多个并发请求中使用cookie时是否能够正确处理,避免出现冲突或错误。 这些是一些常见的测试点,可以帮助确保cookie的正确性和安全性。根据具体情况,还可以根据需求添加其他测试点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值