Web安全——同源策略理解

最新推荐文章于 2024-04-11 13:45:00 发布
最新推荐文章于 2024-04-11 13:45:00 发布
阅读量711 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42019230/article/details/104716282
版权

前提

最近在学习Web安全的过程中接触了同源策略这么一条基本的安全原则,但是一直对其中的部分问题有所不解,经过几天的学习和查找资料,现在对Web的同源策略作一个简单的概括。

同源策略概述

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

我们将使用拆字法来理解同源策略相关的问题,首先我们将“同源策略”拆分为两个部分,第一个是 “同源” ;第二个是 “策略”

一、同源:同一个来源

首先我们弄懂什么算是同一个来源(字面上):以http://a.bcd.com/dir1/test1.html为例子

请求地址结果原因
http://a.bcd.com/dir1/test2.html成功同一域名,相同文件夹
http://a.bcd.com/dir2/test.html成功同一域名,不同文件夹
https://a.bcd.com/dir1/test2.html失败不同协议,http与https
http://a.bcd.com:8000/dir2/test2.html失败不同端口
http://a.efg.com/dir2/test2.html失败不同域名

以上表格非常直观的表述了什么算是同一个来源的问题。

对于这个问题我们不多作讲解,因为大家都能理解同源策略的本质就是防止跨域资源访问。那么同源的概念也就十分好理解。而大多数人不能理解实际上是策略的问题,因为这一个部分无关代码,是一个和“人”相关的概念。

二、策略:为了客户安全

为了理解策略相关的概念,我们需要有一些实验的结果(实验过程的代码就不贴出来了):

  • 实验一、不使用JS进行跨域请求发送,使用form表单的submit方法发送Get跨域请求,服务器不对响应头进行设置。

  • 结果:请求发送,服务器端接受到Get请求,返回码为200,浏览器显示拦截了跨域请求

  • 实验二、使用Ajax发送跨域请求,服务器不对响应头进行设置

  • 结果:请求发送,服务器端接受到请求,返回码为200,浏览器显示拦截了跨域请求

实验一、二结果分析:

服务器不对跨域请求进行任何甄别,只要请求正确,服务器会正常返回内容,而内容在浏览器被拦截。

这说明了一个很重要的点:
同源策略是浏览器策略,并且同源策略不影响服务器端的操作和响应。

事实上这就说明了这一条策略最关键的一个点,整个策略是为了浏览器,也就是为客户而实现的。因此同源策略保护了使用浏览器的客户,这一条是客户端安全中最重要的原则,我们所要保护和黑客所要窃取的资源都是客户的资源,这也就可以解释为什么关闭浏览器同源策略对客户本身是危险的:因为客户会因为同源策略的关闭而无法保证自己不会被Cookie劫持。

Viewwuyou
关注
同源策略——CORS和JSONP劫持漏洞
m0_61506558的博客
11-03 770
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
【漏洞挖掘】——53、 WebSocket安全概览
最新发布
Fly_鹏程万里
06-07 354
在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Proxy右侧的"WebSockets History"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究,这让我产生了需要深入研究一下的想法。
Web安全基础之同源策略
Anonymous24的博客
07-03 294
同源策略 晨钟暮鼓,震悟大千 0x00 什么是同源策略 同源策略(Same origin policy)是一种约定,一种Web应用程序的一种安全模型,而不是一种标准。同源策略应用于处理Web内容的各种客户端上,比如浏览器上的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。如果没有同源策略,则会造成跨域资源的读取,比如a.com的一段JavaScript脚本,b.com上未加载该脚本,也能随意修改b.com的页面(当JavaScript被浏览.
web安全同源策略
weixin_30457881的博客
05-07 123
为什么使用同源策略?一个重要原因就是对cookie的保护,cookie 中存着sessionID 。如果已经登录网站,同时又去了任意其他网站,该网站有恶意JS代码。如果没有同源策略,那么这个网站就能通过js 访问document.cookie 得到用户关于的各个网站的sessionID。其中可能有银行网站,通过已经建立好的session连接进行攻击,这里有一个专有名词,CSRF,还有需要注意的是同...
Web安全(一)---浏览器同源策略
Auto
03-23 691
文章目录Web安全(一) --- 浏览器同源策略#1 什么是浏览器同源策略#1.1 什么是同源 ?#1.2 同源策略的限制#1.2.1 不能读写Cookie、Session Storage、Local Storage、Cache、Indexed DB#1.2.2 DOM#1.2.3 异步请求#2 跨域#2.1 解决跨域的方法#2.2 跨域资源共享(CORS)# CORS方法如何携带Cookie#2...
web应用安全》被动攻击与同源策略
weixin_42368489的博客
09-23 372
被动攻击与同源策略 浏览器针对被动攻击的防御策略--沙盒(沙盒的核心概念为同源策略) 主动攻击 指攻击者直接攻击web服务器,如SQL注入 被动攻击 单纯的被动攻击攻击者针对网站的用户设下陷阱,利用掉入陷阱的用户来攻击应用程序 恶意利用网站进行的被动攻击 利用正规网站进行的被动攻击,入侵正规网站,往其内容中嵌入恶意代码, 用户在浏览了含有恶意代码的内容后,就会感染病毒。 在正规网站中设置陷...
WEB知识: 同源策略介绍以及规避方法
街角有人祝福,巷口有人哭~
06-09 480
所谓同源策略(Same origin policy),其实就是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 何谓同源策略: 同源即是指域名、协议与端口相同,不同源的客户端脚本(JavaScript、ActionScript)在没明确授权的情况下,不能读写对方的资源。详细情况见下图: 同源策略目的: 它的目的是为了保证用户信息的安全,防止恶意的网站窃取数据。 试想一下
WEB漏洞——CSRF
qq_63594215的博客
04-11 850
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
Web前端黑客技术揭秘》——探索前端安全的攻防策略
了解并正确实施同源策略、CORS(跨源资源共享)和其他跨域安全措施,能够防止恶意代码从不受信任的源获取敏感数据。 原生态攻击指的是绕过浏览器安全机制的尝试,可能包括利用未知漏洞或设计缺陷。保持软件更新、...
探索经典JavaScript课件:同源策略安全实践
理解并正确处理同源策略对于开发安全Web应用至关重要,因为它有助于防止恶意攻击,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。开发者需要在设计时充分考虑这些限制,以确保用户的隐私和网站的安全性。在实际...
webassembly——同源策略问题的处理(浏览器不能加载本地资源的问题)
weixin_42651102的博客
07-02 2612
webassembly——同源策略问题的处理(浏览器不能加载本地资源的问题) 当你希望浏览器运行本地上的wasm模块时(或者使用fetch对获取本机的URL资源时),你可能会碰到以下问题: 已拦截跨源请求:同源策略禁止读取位于 file:///C:/Users/95461/Desktop/%E6%95%99%E7%A8%8B/index.wasm 的远程资源。(原因:CORS 请求不是 http)。 TypeError: NetworkError when attempting to fetch resou
javascript同源策略和跨域实验及其跨域解决办法
上善若谁?
11-26 483
一、问题提出: 从应用A跳转到应用B,用户在应用B上操作完毕后,关闭页面,是否可以用程序自动刷新应用A窗口,以让用户观察操作效果。如支付宝充值,跳转到各银行界面进行充值,充值完毕后,支付宝页面相关自动刷新。(当然由于跨域问题,支付宝并没有这么做,而是弹出层让用户回来确认是否充值完毕)二、问题分析: 应用A采用域名http://trade.alibaba.com ,应用B采用的域名 http:...
浏览器安全同源策略讲解
qq_37872337的博客
06-16 633
0x00前言        说起同源策略,想必大家都听说过,同源策略可以理解成一种约定,市面上所有的浏览器应该都具有这最基本的安全功能,缺少了它,浏览器可能不能正常工作~        所谓同源策略,当某个域中的脚本去请求另外一个域中的资源时,必须满足相同的协议、域名、端口号才能够访问成功~       &nb
关于同源策略及跨域的解决方案
HiLiou的博客
09-26 305
关于同源策略及跨域的解决方案 同源策略 同源策略:协议、域名、端口号全相同 URL1 URL2 是否跨域/原因 http://www.baidu.com/a.js http://www.baidu.com/b.js 否 / 协议,域名,端口号都相同 http????/www.baidu.com/a.js https????/www.baidu.com/b.js 是 / 协议不同 http://www.baidu.com/a.js http://www.taobao.com/b.j
同源和跨域的知识点
北寻北爱
03-01 850
同源 1.同源的概念 同源(也叫同源策略),是浏览器中的一种安全机制 2.同源的规则 同源指‘三个相同’,协议相同,域名相同,端口号相同(简单来说,就是同一个网站) 3.同源的目的 是为了保护用户信息的安全,防止恶意网站窃取信息 4.同源策略的限制范围(也就是不同源的情况) ( 1 ) cookie,localStorage,IndexDB无法读取 (2)DOM无法获取 (3) ajax请求不能发...
web worker的介绍和使用(包含使用案例)
qq_45903688的博客
12-28 801
Web Workers 是在浏览器中运行 JavaScript 代码的一种机制,它们在主线程之外运行,可以在后台执行一些任务而不阻塞用户界面。Web Workers 使得在浏览器中执行多线程操作成为可能,这有助于提高性能和响应性。在传统的浏览器中,JavaScript 是在主线程中运行的,而主线程主要负责处理用户界面和与用户交互的任务。使用 Web Workers 可以创建额外的线程,这些线程在后台运行,独立于主线程。每个 Web Worker 都有自己独立的全局上下文,与主线程中的全局上下文是分离的。
一文了解Web Worker
xiangzhihong8的专栏
03-14 3080
Web Worker是 HTML5 标准的一部分,这一规范定义了一套 API,允许开发者在 JavaScript 主线程之外开辟新的 Worker 线程,并允许将一段 JavaScript 脚本运行其中。Web Worker的出现,赋予了开发者操作多线程的能力。因为是独立的线程,Worker 线程与JavaScript主线程是能够同时运行的,且互不阻塞。
同源策略保护了什么、如何规避同源限制
weixin_45543674的博客
03-27 5218
同源策略保护了什么、如何规避同源限制 基本照抄阮一峰的博客:浏览器同源政策及其规避方法 同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它帮助阻隔恶意文档,减少可能被攻击的媒介。 例如cookie窃取,如果没有同源策略,当用户从网站a退出,进入另一个网站b时,网站b可能就拿到了用户在网站a中存储的cookie,泄露了用户的信息或伪装成用户向网站a的后端发送请求。 同源的要求:协议、域名、端口号相同 要求同源的场景: 如果不同源,以下三种行为会受到
理解同源(Same-Origin Policy)和跨域(CORS)
python_neophyte的博客
09-02 2096
写在前面 本文作为我这几天阅读相关文章的一个小结。 什么是浏览器同源策略同源策略浏览器的一种为了保护用户信息安全而制订的安全策略。 为什么要有同源保护? 既然是一种安全策略,那肯定是没有它的时候,会有安全问题,也就是说,没有它 = 不安全,有它 = 有了基本的安全保障,下面为了解释没有同源保护存在时可能出现的安全问题,先解释cookie。 什么是cookie? 学习web开发的朋友,或者cs从业人员肯定都知道cookie这个东西的存在。简单来说,它是用户的一个会员卡,就好像在现实生活中,去超市(超市
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值