跨域与安全

最新推荐文章于 2022-09-16 20:30:00 发布
最新推荐文章于 2022-09-16 20:30:00 发布
阅读量1.9k 收藏
点赞数
文章标签: 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43873449/article/details/120716339
版权

跨域

浏览器遵循同源政策(scheme(协议)、host(主机)和port(端口)都相同则为同源)。非同源站点有这样一些限制:

  • 不能读取和修改对方的 DOM
  • 不读访问对方的 Cookie、IndexDB 和 LocalStorage
  • 限制 XMLHttpRequest 请求。(后面的话题着重围绕这个)

CORS

CORS 其实是 W3C 的一个标准,全称是跨域资源共享。服务器需要附加特定的响应头

  • Access-Control-Allow-Origin
  • Access-Control-Allow-Credentials是否允许发送 Cookie.前端也需要设置withCredentials属性
  • Access-Control-Expose-Headers

JSONP

虽然XMLHttpRequest对象遵循同源政策,但是script标签不一样,它可以通过 src 填上目标地址从而发出 GET 请求,实现跨域请求并拿到响应

Nginx

Nginx 是一种高性能的反向代理服务器,可以用来轻松解决跨域问题。

安全

XSS

XSS 全称是 Cross Site Scripting(即跨站脚本),为了和 CSS 区分,故叫它XSS。XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。

这些操作一般可以完成下面这些事情:

  • 窃取Cookie。
  • 监听用户行为,比如输入账号密码后直接发送到黑客服务器。
  • 修改 DOM 伪造登录表单。
  • 在页面中生成浮窗广告。

通常情况,XSS 攻击的实现有三种方式——存储型、反射型和文档型

如何阻止

  • 服务器对输入脚本进行过滤或转码(< script >)
  • 充分利用 CSP(CSP,即浏览器中的内容安全策略,它的核心思想就是服务器决定浏览器加载哪些资源,具体来说可以完成以下功能:
    1:限制其他域下的资源加载。
    2:禁止向其它域提交数据。
    3:提供上报机制,能帮助我们及时发现 XSS 攻击。)
  • 使用 HttpOnly 属性(set-cookie: NID=xxxxxxx; HttpOnly)

CRFS

“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。

CSRF攻击一般会有三种方式:

  • 自动 GET 请求
  • 自动 POST 请求
  • 诱导点击发送 GET 请求。

防范措施: 利用 Cookie 的 SameSite 属性、验证来源站点和CSRF Token。

Touch_ymy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web 跨域请求安全问题
Web_boom的博客
08-23 1070
说起前端安全问题,大部分都听过 XSS 和 CSRF 这两个名词,前端面试中我们也经常会问这两个点作为 web 安全的一些基础考察。但大部分只是从浅谈辄止,停留在基本词义,很少有人真正去主动实践过安全,并且思考背后的关联。前端安全主要来源两个方面,一个是不安全的脚本、另一个是不安全的请求,前者代表各种 XSS 等注入脚本的手段、后者则发起非法的请求,CSRF 是代表。
跨域安全
07-22
有关跨域安全的一点资料,现在跨域存在很多不安全因素,怎么才能让你的网站更安全
浅析浏览器跨域安全问题
weixin_34119545的博客
11-16 116
                          ==Ph4nt0m Security Team==                        Issue 0x02, Phile #0x04 of 0x0A |=---------------------------------------------------------------------------=||=------------...
跨域安全
Hello World
10-26 1446
一、跨域含义   转介:https://www.jianshu.com/p/f880878c1398?tdsourcetag=s_pctim_aiomsg 二、验证是否支持跨域 场景:需要验证是否支持跨域,从而判断其安全性 技术:通过访问外部网站,进行ajax请求       代码实现:     <script type="text/javascript">         ...
安全系列之跨域跨域解决方案
qq_35789269的博客
02-19 1898
一、为什么会出现跨域问题 出于浏览器的同源策略限制。同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 二、什么是跨域 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域,举几个例子: 三、非同源限制 【1】无法读取非同源网页的 Cookie、LocalStorage 和 Inde
面试之跨域安全
weixin_40322503的博客
04-19 593
今天接到了滴滴的一面电面,希望这次可以通过啊,真的不想再死于一面了。 面试过程中有几处没有答出来,其中一个就是跨域,只讲了JSONP和CORS(跨域资源共享),CORS也只是模模糊糊答了一部分,个人感觉并没有达到点上。 回去又好好看了一下,发现还真的有好多可以说的啊,那现在就让我们开始吧~   同源策略 ”不同源的站点之间相互请求会做限制“是浏览器的行为,同源指的是协议、域名、端口都相同...
跨域安全JAR包
11-07
跨域安全JAR包,避免使用JSONP,引入项目后可直接使用JSON返回
Webkit的跨域安全问题说明
01-19
这里有个简单的测试页面:IE、火狐弹出”hello world”,而chrome,safari,opera毫无反应。 以下是小段测试代码(刻意修改domain,让父页面和子页面为不同域页面): 1.父页面代码: 代码如下: [removed] document....
详解JavaScript跨域总结与解决办法
11-28
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。这里把涉及到跨域的一些问题简单地整理一下: 首先什么是跨域,简单地理解就是因为...
【41】WEB安全学习----CORS跨域安全
尚未佩妥剑 转眼便江湖
10-26 498
CORS CORS需要浏览器和服务器同时支持,目前,IE浏览器不能低于IE10。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。浏览器将CORS请求分成两类: 简单请求:发出COR...
浅谈跨域安全
黑白的博客
09-16 4492
跨域问题对于我本人来说一直是一个很头疼的问题,因为每次听到什么CORS啊、JSONP啊等等就会不知所措,其实如果从开发的角度深入进去,就是很简单的串门。看了B站蜗牛学苑的视频,终于把跨域完全理解了。接下来,让我们从JSONP、CORS和CSP三个部分,深入理解跨域问题,如果有一起做实验的,希望可以提前准备好两台服务器+每台服务器上部署一个web服务请把握好这两句话,带着这两句话拿下跨域
【内网学习笔记】30、跨域安全(完结)
TeamsSix 的 CSDN 空间
10-22 3461
0、前言 常见的跨域攻击方法有以下几种: i、利用常规的渗透方法,比如 Web 漏洞 ii、利用已知散列值进行哈希传递或票据传递,因为有可能域内的密码是通用的 iii、利用域信任关系 这里主要看第三种:域信任关系 当有多个域时,不同的域之间想进行资源共享,就需要用到域信任,只有当域之间互相信任后,才能进行资源共享。 域信任关系可分为单向信任和双向信任。单向信任即 A 信任 B,但 B 不信任 A,双向信任同理。在创建子域时,系统会在新的子域和父域之间自动创建双向可传递信任关系。 域信任关系又可分为内部信任和
跨域引发的Web安全思考
weixin_33819479的博客
04-15 684
面试时常会出现跨域的解决方式,那么从为什么会产生跨域思考,就会有很多相关的知识跳出来了。也会帮助把以前不相关的知识点串联起来。 web 浏览器中包含javascript解释器,也就是说,一旦载入Web页面,就可以让任意的JavaScript代码在计算机里执行。这就造成了很大的安全隐患。攻击者可能会读取或修改数据、盗取隐私等。 基础安全知识 XSS (Cross Site Scripting, ...
jsonp跨域安全问题
Daisy花园
04-24 8881
JSONP没有关于错误调用的处理,一旦回调函数失败,浏览器就会以静默失败的方式处理。 只支持GET请求 安全性问题 1、Callback可自定义导致的安全问题Content-type与XSS漏洞 再输出 JSON 时,没有严格定义好 Content-Type( Content-Type: application/json )然后加上 callback 这个输出点没有进行过滤直接导致了一个典型的 X
跨域问题解决方案(HttpClient安全跨域 & jsonp跨域)
热门推荐
Xinghf
07-23 5万+
1 错误场景 今天要把项目部署到外网的时候,出现了这样的问题, 我把两个项目放到自己本机的tomcat下, 进行代码调试, 运行都没有问题的, 一旦把我需要调用接口的项目B放到其他的服务器上, 就会报错, 无法通过Ajax调用springMVC的接口, 这是什么原因呢? 当我使用json ajax post请求传递数据的时候在web端出错:XMLHttpRequest cannot load
解决跨域请求和接口安全问题
wuyang19920226的博客
06-16 5319
写在前面:最近一个月因为事杂且多,没有抽出时间来整理技术点。早就想好写这方面的内容了,这周末才勉强挤出时间整理下。 步入正题,既然是解决跨域请求,那么要知道什么是跨域请求,为什么会有跨域请求。 一、什么是跨域请求: 首先引入一个概念:同源策略。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。为了保护本地数据不被JavaScript代码获取回...
关于jsonp实现跨域访问,以及存在的安全问题
La0sj的博客
05-16 3826
关于jsonp实现跨域访问相关知识,请看某位大佬这篇博文,虽然是2012年写的老文章了,但是对于新手来说写滴是相当不错:深入浅出JSONP–解决ajax跨域问题
Web安全之同源策略与跨域访问
积极奋斗的蜗牛
05-28 3956
古语云:“无规矩不成方圆”。同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。一、怎样才算是同源所谓同源是指域名(主机名或者IP地址)、端口、协议相同。不同的客户端脚本(JavaScript、ActionScript)在没明确
用jQuery与JSONP轻松解决跨域访问的问题
u013358378的专栏
05-13 449
时间过得好快,又被拉回js战场时, 跨域问题这个伤疤又开疼了. 好在,有jquery帮忙,跨域问题似乎没那么难缠了.这次也借此机会对跨域问题来给刨根问底,结合实际的开发项目,查阅了相关资料,算是解决了跨域问题..有必要记下来备忘. 跨域安全限制都是指浏览器端来说的.服务器端是不存在跨域安全限制的,所以通过本机服务器端通过类似httpclient方式完成“跨域访问”的工作,然后在浏览器
vue与springboot session跨域
最新发布
07-15
跨域问题出现在当Vue应用与Spring Boot应用部署在不同的域或端口上时,浏览器会阻止前端应用发送跨域请求,以保护用户的安全和隐私。 为了解决跨域的问题,我们可以采取以下措施: 1. 在Spring Boot应用中配置跨域...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值