本文探讨了HTML5中的CORS(跨源资源共享)机制,它是为了解决SOP(同源策略)带来的限制,允许AJAX进行可控的跨域访问。CORS提供了一种更安全的跨域请求方式,但同时也引入了新的安全风险,如CORS攻击。通过CORS,开发者可以灵活管理跨域请求,但也需要理解其潜在的安全隐患。
让你了解一些关于HTML5安全相关的一些知识,后续更新中
HTML5安全风险详析之一:CORS攻击
收集自21天 http://doc.xuehai.net
一、从SOP到CORS
SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示:
后来出现了CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。具体可以参见我的这篇文章《HTML5安全:CORS(跨域资源共享)简介》。示意如下图所示:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
