浏览器安全-同源策略

最新推荐文章于 2024-09-14 18:52:56 发布
最新推荐文章于 2024-09-14 18:52:56 发布
阅读量107 收藏
点赞数
文章标签: javascript python java ViewUI
原文链接:https://my.oschina.net/bosscheng/blog/131327
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

同源策略

同源策略是一种约定,它是浏览器最核心也是最基本的安全功能。

浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。

---------------------------------------------邪恶的分割线--------------------------------------------

对于影响到“源”的因素有

  • host(域名或IP地址,如果是IP地址则看做一个根域名)
  • 子域名
  • 端口
  • 协议

-------------------------------------------邪恶的分割线---------------------------

    在浏览器中,对于标签 <script> , <img>, <iframe> , <link> 等标签都可以跨域加载资源,而不受同源策略的限制。这些带有“src”属性的标签每次加载的时候,实际上是由浏览器发起一个get请求。

    不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器是限制了javascript的权限,使其不能够读写返回的内容。

    对于XMLHttpRequest来说,它可以访问来自同源对象的内容。但是不能够访问跨域访问资源,所有在ajax开发中尤其需要注意这点。

    在w3c委员会制定了XMLHttpRequest跨域访问标准。他需要通过目标域返回的HTTP头授权是否允许跨域访问,因为HTTP头对于javascript来说一般是无法控制的,所以认为这个方案是可行的。

对于浏览器来说:除了DOM、Cookie、XMLHttprequest会受到同源策略的限制外,浏览器加载的第三方插件也有各自的同源策略。例如:flash,java applet,silverlight,coogle gears等

ps:对于flash,主要是检查目标文件提供的crossdomain.xml文件判断是否允许当前的“源”的flash跨域访问目标资源。在flash9之后,还添加了MIME检查以确认crossdomain.xml是否合法。

例如“人人网”的crossdomain.xml文件

转载于:https://my.oschina.net/bosscheng/blog/131327

???Sir
关注
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8258
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
浏览器安全同源策略
aide521521的博客
03-18 673
同源策略是一种约定,它是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响.可以说Web是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现.浏览器同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性.影响"源"的因素有:协议,域名,端口号.需要注意的是,对于当前页面来说,页面存放JavaScript文...
浏览器安全同源策略讲解
qq_37872337的博客
06-16 628
0x00前言        说起同源策略,想必大家都听说过,同源策略可以理解成一种约定,市面上所有的浏览器应该都具有这最基本的安全功能,缺少了它,浏览器可能不能正常工作~        所谓同源策略,当某个域中的脚本去请求另外一个域中的资源时,必须满足相同的协议、域名、端口号才能够访问成功~       &nb
理解浏览器同源策略限制
WEBCODE
04-09 267
理解浏览器同源策略限制浏览器同源策略是指浏览器会阻止从一个域上加载的脚本获取或操作另一个域上的文档属性。也就是说,受到请求的 URL 的域必须与当前 Web 页面的域相同。这意味着浏览器会主动隔离来自不同源的内容,以防止它们之间的操作。这个浏览器策略很旧,从 Netscape Navigator 2.0 版本开始就存在。...
浏览器安全机制-同源策略
weixin_44870846的博客
07-30 408
目录 同源策略 概述 同源策略的条件 跨域资源共享(CORS) HTTP头部声明 内容安全策略(CSP) 同源策略 概述 同源策略,SOP(Same Orgin Policy) 同源策略浏览器JavaScript进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。 概念补充: Ajax:Asynchronous JavaScript and XML ,是一种创建交互式、快速动态网页的网页开发技术,无需重新加载整个页面,只需要更新网页的部分。 什么是跨域? 跨域就.
了解浏览器安全机制-同源策略
weixin_30335353的博客
08-05 108
  同源策略是一种共识,是浏览器最核心的部分,web是构建在同源策略基础之上的,他限制了来自不同源的脚本或document 对当前document读取或设置某些属性,浏览器提出“Orign”的概念,来自不同Orign的对象无法互相干扰 url 是否同源 原因 http://www.fang.com/a 对比基准 http://www.fang.c...
浏览器安全-同源策略和CORS
seanyang_的博客
09-06 570
同源策略浏览器的一个安全功能,浏览器禁止在当前域读写其他域的资源,如限制跨域发送ajax请求不受同源策略限制的1)页面中的链接,重定向表单以及表单提交2)跨域资源引入 如script不受跨域限制,可以跨域请求src如何解决跨域访问资源1)利用script的跨域特性绕过同源策略,介绍了JSONP。
浏览器页面安全-同源策略安全篇】
问白的博客
03-26 1002
为了让我们的页面变得更加安全浏览器会使用 同源策略隔离不同源的DOM、网络数据、和网络通信。但我们在实际开发应用中对于上述的场景都有实际的需要,所以就需要再安全性和便利性之间取得一个平衡。既要保障安全,也要保障一定的灵活性。两个不同源的DOM之间也是不能相互通信 / 操纵的,于是在此之上引入了夸文档消息通信机制。让其可以比较安全的通信页面中可以引用第三方资源,由此而导致的很多诸如XSS之类的问题可以通过CSP来限制。
浏览器安全---同源策略(持续更新)
qq_43511094的博客
08-02 156
浏览器同源策略浏览器同源策略是一个最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能就会受到影响。 浏览器同源策略,限制了来自不同源的脚本或者document对当前的document进行读取或设置某些属性。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源的定义: 如果页面的ip,子域名,协议和端口号这四者都一致,则认为他们是同源的 ...
第八节 浏览器同源策略介绍-01
09-15
同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面恶意代码访问其他页面。 源的含义 在计算机中,源(Origin)是指信息的来源位置。根据RFC6454文档规定,源是由协议、...
BOSDGM#book#01-同源策略1
07-25
1. 同源1.1 源源(Origin), 指 协议, 域名和端口号1.2 同源策略同源策略浏览器为了保护客户端安全, 而进行限制的一种行为, 非同源情况下是无
浏览器原理 - 同源策略和跨域
小陈的博客
11-09 910
跨域问题其实就是浏览器同源策略造成的。下表给出了与 URL 的源进行对比的示例:同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致。**同源政策主要限制了三个方面:同源政策的目的主要是为了保证用户的信息安全,它只是对 js 脚本的一种限制,并不是对浏览器的限制,对于一般的 img、或者script 脚本请求都不会有跨域的限制,这是因为这些操作都不会通过响应结果来进行可能出现安全问题的操作。下面是MDN对于CORS的定义:CORS需要浏览器和服务器同时支持,整个CORS
js中【Worker】相关知识点详细解读
2301_79858914的博客
09-11 869
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
JavaScript】LeetCode:707设计链表
最新发布
weixin_45980065的博客
09-14 575
【代码】【JavaScript】LeetCode:707设计链表。
echarts.js+china.js实现中国地图各省数据案例
qq_58258855的博客
09-11 461
实现中国地图各省数据案例
JS笔记
2201_76100326的博客
09-11 892
javascript中的对象分为3种:自定义对象,内置对象,浏览器对象 JavaScript 中的所有事物都是对象:字符串、数字、数组、日期,等等。在 JavaScript 中,对象是拥有属性和方法的数据。属性是与对象相关的值。方法是能够在对象上执行的动作。.关键词()
vue3中动态引入本地图片的两种方法
haodanzj的博客
09-11 276
动态在本地引入图片
JS的输出语句
J3259392566的博客
09-13 257
js中严格区分大小写。
浏览器安全同源策略与跨域访问深度解析
"本文将深入探讨同源策略及其对跨域访问的影响,主要涉及浏览器安全机制、同源策略的定义、同源策略的例外以及跨域解决方案。" 同源策略是Web浏览器为了保护用户信息安全而制定的一项核心安全策略。它规定,只有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值