同源策略_Same-origin policy

最新推荐文章于 2022-04-08 14:31:37 发布
最新推荐文章于 2022-04-08 14:31:37 发布
阅读量317 收藏
点赞数
文章标签: json python
原文链接:https://my.oschina.net/xinxingegeya/blog/338226
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

同源策略_Same-origin policy

Same-origin policy

In computing, the same-origin policy is an important concept in the web application security model. The policy permits scripts running on pages originating from the same site – a combination of scheme, hostname, and port number – to access each other's DOM with no specific restrictions, but prevents access to DOM on different sites. The same-origin policy also applies to XMLHttpRequests unless the server provides a Access-Control-Allow-Origin (CORS) header. Notably WebSockets are not subject to(从属于) same-origin policy.

This mechanism(机制) bears a particular significance for modern web applications that extensively depend on HTTP cookies to maintain authenticated user sessions, as servers act based on the HTTP cookie information to reveal sensitive information or take state-changing actions. A strict separation between content provided by unrelated sites must be maintained on the client side to prevent the loss of data confidentiality or integrity.

 

Origin determination rules

The algorithm used to calculate the "origin" of a URI is specified in RFC 6454, Section 4. For absolute URIs, the origin is the triple {protocol, host, port}. If the URI does not use a hierarchical element as a naming authority (see RFC 3986, Section 3.2) or if the URI is not an absolute URI, then a globally unique identifier is used. Two resources are considered to be of the same origin if and only if all these values are exactly the same.

To illustrate(说明), the following table gives an overview of typical outcomes for checks against the URL "http://www.example.com/dir/page.html".

Compared URLOutcomeReason
http://www.example.com/dir/page2.htmlSuccessSame protocol and host
http://www.example.com/dir2/other.htmlSuccessSame protocol and host
http://username:password@www.example.com/dir2/other.htmlSuccessSame protocol and host
http://www.example.com:81/dir/other.htmlFailureSame protocol and host but different port
https://www.example.com/dir/other.htmlFailureDifferent protocol
http://en.example.com/dir/other.htmlFailureDifferent host
http://example.com/dir/other.htmlFailureDifferent host (exact match required)
http://v2.www.example.com/dir/other.htmlFailureDifferent host (exact match required)
http://www.example.com:80/dir/other.htmlDependsPort explicit. Depends on implementation in browser.

 

Relaxing the same-origin policy

Cross-Origin Resource Sharing

The second technique for relaxing the same-origin policy is being standardized under the name Cross-Origin Resource Sharing. This draft standard extends HTTP with a new Origin request header and a new Access-Control-Allow-Origin response header. It allows servers to use a header to explicitly list origins that may request a file or to use a wildcard and allow a file to be requested by any site. Browsers such as Firefox 3.5 and Safari 4 use this new header to allow the cross-origin HTTP requests with XMLHttpRequest that would otherwise have been forbidden by the same-origin policy.

JSONP

JSONP allows a page to receive JSON data from a different domain by adding a <script> element to the page which loads a JSON response from a different domain.

===============END===============

转载于:https://my.oschina.net/xinxingegeya/blog/338226

weixin_34337265
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域之同源策略 Same-origin policy
weixin_34347651的博客
11-13 195
同源策略是浏览器中最基本的隔离潜在恶意文件的安全策略,他限制了来自不同源(origin)的文档或脚本之间的相互作用。 何谓同源 在跨域之URL中介绍过一个URL的标准格式如下: 协议类型://服务器地址(必要时需加上端口号)/路径/文件名 对比URL的标准格式,这里的同源就是指: 协议类型相同(protocol) 服务器地址相同(host,也可以叫域名相同) 端口相同(p...
关于同源策略
人工智能视觉分析算法学习实践和经验分享。
03-25 478
同源策略: 提示:什么是源? 这里的源(origin)指的是协议、域名和端口号。 什么是同源策略? 所谓同源是指"协议+域名+端口"三者皆相同。 同源策略(SOP,Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览器很容易受到 XSS、 CSFR 等攻击。 若地址里面的协议、域名和端口号均相同则属于同源。 同源的意义: 1)一个we
php跨域获取html,JS跨域抓取HTML页面并解析
weixin_35907524的博客
03-26 227
same origin policy页面中的Javascript只能读取,访问同域的网页。这里需要注意的是,Javascript自身的域定义和它所在的网站没有任何关系,只和该Javascript代码所嵌入的文档的域有关。如以下示例代码:This is a webpage came from http://localhost:8000123console.log($('#test').text())...
理解“same-site“ 和 “same-origin
weixsun的博客
04-14 748
Understanding "same-site" and "same-origin" 作者:Eiji Kitamura 译者:weixsun 原文:Understanding "same-site" and "same-origin" "same-site" and "same-origin" are frequently cited but often misunderstood te
Referer请求头
GD_vigoss的博客
04-08 4440
本文分享自微信公众号 - code秘密花园(code_mmhy),作者:ConardLi 原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。 原始发表时间:2020-11-17 如果你的站点有使用 Referer 标头收集网页的访问来源信息,则此策略变化可能对你的程序造成影响,请仔细阅读。 在开始阅读本文之前,如果你不理解 site和 origin之间的关系,请阅读:同站和同源你理解清楚了么? Referer 标头 Referer请求头包含了
第八节 浏览器同源策略介绍-01
09-15
同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面恶意代码访问其他页面。 源的含义 在计算机中,源(Origin)是指信息的来源位置。根据RFC6454文档规定,源是由协议、...
Allow-Control-Allow-Origin_1_0_3_0.crx.zip
01-20
跨域是由于浏览器的同源策略(Same-Origin Policy)实施的,该策略限制了来自不同源的HTTP请求,以防止恶意网站通过脚本访问敏感数据。"Origin" 在这里指的是协议、域名和端口三者组成的URL。当尝试从一个源向另一个...
谷歌跨域插件Access-Control-Allow-Origin
02-15
跨域是由于浏览器的同源策略(Same-origin policy)引起的,它限制了来自不同源的JavaScript脚本对网页资源的访问,以保护用户数据的安全。Access-Control-Allow-Origin是HTTP响应头的一部分,用于指定允许哪些源的...
JSON to JSONP- Bypass Same-Origin Policy
10-15
在Web开发中,浏览器的同源策略(Same-Origin Policy)是一项重要的安全机制,它限制了来自不同源的“脚本”之间交互。这意味着,一个网页只能访问和操作与自身同源(协议、域名、端口都相同)的资源,对于不同源的...
Allow-Control-Allow-Origin
11-28
在Web开发中,"Allow-Control-Allow-Origin"是一个关键的HTTP响应头字段,它涉及到浏览器的同源策略(Same-Origin Policy)以及跨域资源共享(CORS,Cross-Origin Resource Sharing)。同源策略是浏览器的一个安全...
response设置响应头,解决跨域请求问题,No 'Access-Control-Allow-Origin' header is present on the requested resource
热门推荐
益添的博客
05-15 25万+
今天被跨域请求的问题困扰了很久,跨域一句话的理解就是:服务端和请求端的地址不一样。跨域的详细介绍可以参考:浏览器和服务器实现跨域(CORS)判定的原理,这里不多赘述。我出现的问题,主要就是客户端向发送了服务端请求,服务器已经能返回数据,但是浏览器不接收。Failed to load http://localhost:8080/XXXX: No 'Access-Control-Allow-Origi...
使用4中方式解决Same-Origin Policy
缺项目
05-20 2865
了解什么是Origin:URI的协议,主机名和端口号的组合。1.启用CORS的后端2.通过命令行标志禁用网络安全性来克服同源策略问题--disable-web-security --user-data-dir (需重启)3. 下载插件 ALLOW-CONTROL-ALLOW-ORIGIN:*4. 在线web ide 配置destination ,然后在neo-app.json ...
同源政策(same-origin policy
TKOP_的博客
04-20 1740
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
同源策略(SOP)Same-origin policy
汗的博客
12-23 813
什么是同源策略同源策略是一种Web浏览器安全性机制,旨在防止网站相互攻击。 同源策略限制一个起源上的脚本访问另一个起源的数据。源由URI方案,域和端口号组成。例如,考虑以下URL: http://normal-website.com/example/example.html 这将使用协议http,域normal-website.com和端口号80。下表显示了如果上述URL上的内容尝试访问其他来源时将如何应用同源策略: 网址已访问 允许访问? http://normal-website.com/examp
跨站请求报错解决方法
陈东的博客
09-29 4091
为了实验,我们开2个Web服务器,一个监听在3000另一个监听3001端口,不妨称作站点A和站点B。下图是B站点通过AJAX访问A站点,可以看到有报错。 这是因为浏览器为了安全目的阻止了这个「跨站请求」,我们把这个策略叫做same origin policy。为了绕开这个限制,有一个规范:Cross-Origin Resource Sharing (CORS)。 CORS的基本原理是这样的。 ...
浏览器跨域问题解决方案
乡下人
08-06 8457
浏览器跨域问题解决方案 参考: https://developer.yahoo.com/javascript/howto-proxy.html?guccounter=1 http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: ...
深入理解Same-Origin安全机制
夯实技术基础
01-10 4247
浏览器普遍使用origin来表示权限范围。通过隔离不同origin的内容来防止某些恶意网站的运营人员(黑客)干涉正常网站的运行。本文除了描述构成origin概念的几个核心准则外,还描述了如何确定URI的origin、如何把origin序列化成字符串。本文也定义了一个命名为"Origin"的HTTP头部字段,用来表示与当前HTTP请求相关的几个origin。 same origin机制进行了详细描述
java跨域问题_Java 跨域问题的处理方式
weixin_28856787的博客
02-19 249
问题在页面上要使用 Ajax 请求去获取另外一个服务的数据,由于浏览器的 同源策略,所以直接请求会得到一个 Error。Failed to load https://www.baidu.com/: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhos...
Access-Control-Allow-Origin如何作用于同源策略
最新发布
07-20
Access-Control-Allow-Origin是一个HTTP头部字段,它用于浏览器实施同源策略(Same-Origin Policy)时,控制服务器向客户端发送数据的跨域访问规则。当浏览器发起AJAX请求或fetch API等跨源操作时,会先检查目标资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值