php什么是同源策略,javascript - 绕过同源策略的方法

最新推荐文章于 2023-09-06 16:43:54 发布
最新推荐文章于 2023-09-06 16:43:54 发布
阅读量124 收藏 1
点赞数 1
文章标签: php什么是同源策略

origin方法

方法类型:iframe。

请注意,这是一个iframe方法,它将document.domain的值设置为当前域的后缀。 如果它这样做,则较短的域用于后续的原始检查。 例如,假设文档中的脚本origin执行以下语句:

document.domain = "company.com";

执行该语句后,页面将通过origin传递原点检查。但是,出于同样的原因,company.com无法将source设置为window.postMessage。

使用此方法,您将被允许从源自主域上的页面上的子域的iframe中提取javascript。 此方法不适用于跨域资源,因为Firefox等浏览器不允许您将origin更改为完全外来域。

来源:[https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript]

跨源资源共享方法

方法类型:AJAX。

跨源资源共享(CORS)是W3C工作草案,它定义了在访问源的源时浏览器和服务器必须如何通信。 CORS背后的基本思想是使用自定义HTTP标头,允许浏览器和服务器相互了解,以确定请求或响应是成功还是失败。

对于一个简单的请求,使用origin或source而没有自定义标头且其主体为window.postMessage,请求将发送一个名为MessageEvent的额外标头.Origin标头包含的源(协议,域名和端口) 请求页面,以便服务器可以轻松确定它是否应该响应。 示例data标题可能如下所示:

Origin: http://www.stackoverflow.com

如果服务器决定应该允许该请求,它会发送一个origin标头,回显发送的相同源或source(如果它是公共资源)。 例如:

Access-Control-Allow-Origin: http://www.stackoverflow.com

如果缺少此标头,或者原点不匹配,则浏览器不允许该请求。 如果一切顺利,则浏览器处理请求。 请注意,请求和响应都不包含cookie信息。

Mozilla团队在他们关于CORS的帖子中建议你应检查是否存在origin属性,以确定浏览器是否通过XHR支持CORS。 然后,您可以结合source对象的存在来覆盖所有浏览器:

function createCORSRequest(method, url){

var xhr = new XMLHttpRequest();

if ("withCredentials" in xhr){

xhr.open(method, url, true);

} else if (typeof XDomainRequest != "undefined"){

xhr = new XDomainRequest();

xhr.open(method, url);

} else {

xhr = null;

}

return xhr;

}

var request = createCORSRequest("get", "http://www.stackoverflow.com/");

if (request){

request.onload = function() {

// ...

};

request.onreadystatechange = handler;

request.send();

}

请注意,要使CORS方法起作用,您需要访问任何类型的服务器标头机制,并且不能简单地访问任何第三方资源。

资料来源:[http://www.nczonline.net/blog/2010/05/25/cross-domain-ajax-with-cross-origin-resource-sharing/]

origin方法

方法类型:iframe。

origin,当被调用时,当任何必须执行的挂起脚本完成时(例如,如果从事件处理程序调用window.postMessage,之前设置的挂起超时等,则保留事件处理程序),将导致在目标窗口调度source。 MessageEvent具有类型消息,data属性,设置为提供给window.postMessage的第一个参数的字符串值,origin属性,对应于调用window.postMessage时调用window.postMessage的窗口中主文档的原点,以及 source属性,即调用window.postMessage的窗口。

要使用origin,必须附加事件侦听器:

// Internet Explorer

window.attachEvent('onmessage',receiveMessage);

// Opera/Mozilla/Webkit

window.addEventListener("message", receiveMessage, false);

并且必须声明origin函数:

function receiveMessage(event)

{

// do something with event.data;

}

场外iframe还必须通过origin正确发送事件:

任何窗口都可以在任何其他窗口上随时访问此方法,无论窗口中文档的位置如何,都可以向其发送消息。 因此,用于接收消息的任何事件侦听器必须首先使用origin和可能的source属性检查消息发送者的身份。 这不能低估:如果未检查origin和可能的source属性,则会启用跨站点脚本攻击。

资料来源:[https://developer.mozilla.org/en/DOM/window.postMessage]

皮友萍
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略及其绕过详解
yufumusui的博客
12-06 5026
同源策略及其绕过详解 前言 最近在看吴翰清写的 白帽子讲 web安全 一书,遇到同源策略一词,我便开始深入学习相关内容,查阅了许多资料后,写该博客梳理、记录所学知识 基础知识 Origin(源) Origin: < scheme > “????/” <host> [ “:” < port > ],origin由用于访问它的URL的scheme(协议)、port(端口)、host(IP或域名)定义 scheme:请求所使用的协议,通常是HTTP协议或者它的安
第八节 浏览器同源策略介绍-01
最新发布
09-15
第八节 浏览器同源策略介绍-01
同源策略以及绕过此限制的方法
duzm200542901104的专栏
01-05 4006
一、同源策略 1、何为同源? 所谓"同源"指的两个网页url的三个部分是相同的: http://www.example.com:80/dir/page.html 协议相同 域名相同 端口相同 2、同源策略 同源策略是Web应用程序安全模型中的一个重要概念,它由 Netscape 公司在1995年引入浏览器。该策略最初是为保护DOM的访问而设计的,Web浏览器允许第一个Web页面中包含...
浏览器安全-同源策略和CORS
seanyang_的博客
09-06 489
同源策略是浏览器的一个安全功能,浏览器禁止在当前域读写其他域的资源,如限制跨域发送ajax请求不受同源策略限制的1)页面中的链接,重定向表单以及表单提交2)跨域资源引入 如script不受跨域限制,可以跨域请求src如何解决跨域访问资源1)利用script的跨域特性绕过同源策略,介绍了JSONP。
php什么是同源策略,安全 初探同源策略及其安全
weixin_39776787的博客
03-23 215
今天了解了一些有关浏览器同源策略以及CSRF***之后,觉得挺有意思的,所以特此总结一波,给自己囤一点干货这篇文章主要包含三个大的方面:1.同源策略是什么及其作用2.如何绕过同源策略3.CSEF***及防御同源策略及其安全.png1.同源策略(same-origin policy):1.1 什么叫做同源同源是针对域名来说的,对于任意的域名,只要他们的协议(HTTP,HTTPS)一致,主机一致,端...
绕过同源策略
wk19951125的博客
06-01 1707
绕过同源策略绕过同源策略理解同源策略SOP与DOMSOP与CORSSOP与插件通过界面伪装理解SOP通过浏览器历史理解SOP绕过SOP技术在Java中绕过SOP在Adobe Reader中绕过SOP 绕过同源策略 理解同源策略 同源:拥有相同主机名、协议和端口的页面 同源策略同源间的资源交互不受限制 SOP与DOM 决定JavaScript及其他协议如何访问DOM时就是依赖同源策略,但是I...
js同源策略详解
12-10
概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 这里的同源指的是:同协议,同域名和同端口。 精髓: 它的...
JavaScript同源策略和跨域访问实例详解
10-18
主要介绍了JavaScript同源策略和跨域访问,结合实例形式较为详细的分析了javascript同源策略与跨域访问的原理、实现、使用方法及相关注意事项,需要的朋友可以参考下
深入浅析同源策略和跨域访问
11-22
1. 什么是同源策略   理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则...
php什么是同源策略,js同源策略是什么
weixin_34626306的博客
03-23 85
对于任何基于WEB的应用,最重要的就是安全性.JS中有各种安全检查以防止恶意脚本攻击你的机器,其中一些特定的安全手段在各种浏览器中都有采用.如:Mozilla有个完全独特的完全模型,涉及到了签署脚本和加强特权.我们要知道哪些安全手段是所有浏览器通用的,哪些是特定浏览器的.这样就能创建更安全的JS脚本.同源策略;JS只能与同一个域中的页面进行通讯.如:运行在 http://domain:port/a...
浏览器同源策略
php_dandan的博客
12-04 437
同源策略,它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript 的浏览器都会使用这个策略。 所谓同源是指,域名,协议,端口相同。 当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的, 即检查是否同源,只有和百度同源的脚本才会被执行。 [1] 如果非同源,那么在请求数据时,浏览器会在控制台中报...
同源策略详解及绕过[转]
weixin_30650039的博客
04-27 582
浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 简单的来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。 同源策略是由Netscape提出的一个著名的安全策略...
php什么是同源策略,同源策略和跨域知识点学习
weixin_42153801的博客
03-23 181
问题起因是在使用weibo api的时候,发现有一个报错。weibo api是https协议,我本地是模拟的回调域名,然后进行数据通信,本地http协议,于是乎就报错了。出于对postMessage的不是很熟悉,借此机会学习晚上一些自己的知识储备。api.weibo.com/2/oauth2/authorize?client_id=******&response_type=token&am...
ajax请求绕过同源策略的实现
非著名coder的窝
05-18 3346
关于同源策略的问题可以参考:http://hcc0926.blog.51cto.com/172833/1557204虽然跨域的问题很多,但是有时候又无法避免这样的使用,比如说加载远程的一个json文件或者是远程的js文件,具体的用法如下:(1)使用jquery的ajax方法jQuery $.ajax()支持get方式的跨域,这其实是采用jsonp的方式来完成的. 加载远程文件代码示例如下:$.aja
PHP Ajax 跨域问题最佳解决方案【同源问题】
weixin_33860147的博客
09-07 86
2019独角兽企业重金招聘Python工程师标准>>> ...
同源策略及规避方法
Nundy
04-20 2158
本文介绍了同源策略的含义、目的以及常用的几种规避方法,如CORS、JSONP等
同源策略、跨域解决方案
antaoye1565的博客
05-10 432
1、先来说说什么是源• 源(origin)就是协议、域名和端口号。以上url中的源就是:http://www.company.com:80若地址里面的协议、域名和端口号均相同则属于同源。以下是相对于http://www.a.com/test/index.html的同源检测• http://www.a.com/dir/page.html----成功• http://www.child...
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
什么是同源策略和非同源策略
05-24
同源策略和非同源策略是用于限制网页脚本访问其他网站资源的安全策略。 同源策略是指,如果两个网址具有相同的协议、主机名和端口号,则这两个网址属于同一个源。同源策略要求网页脚本只能访问与其来源网址同源的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值