同源策略介绍

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量1.7k 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44174581/article/details/119617022
版权

同源策略

同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。
是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。

1.file域的同源策略

只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。
在这里插入图片描述

2.cookie的同源策略

cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。
不管使用哪个协议(HTTP/HTTPS)或端口号,浏览器都允许给定的域以及其任何子域名访问cookie。设置 cookie时,可以使用 domain / path / secure 和 http-only 标记来限定其访问性。
所以 https://localhost:8080/ 和 http://localhost:8081/ 的Cookie是共享的。

源的更改

同源策略认为域和子域属于不同的域,例如 child1.a.com 与 a.com / child1.a.com 与 child2.a.com / xxx.child1.a.com 与 child1.a.com 两两不同源。
对于这种情况,可以在两个方面各自设置 document.domain=‘a.com’ 来改变其源来实现以上任意两个页面之间的通信。
另外因为浏览器单独保存端口号,这种赋值会导致端口号被重写为 null 。

CORS

CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)。通过这个标准,可以允许浏览器读取跨域的资源。CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

防御措施

如非必要不开启CORS
定义详细的白名单,不使用通配符,仅配置所需要的头
配置 Vary: Origin 头部
如非必要不使用 Access-Control-Allow-Credentials
限制缓存的时间

阻止跨源访问

阻止跨域写操作,可以检测请求中的 CSRF token ,这个标记被称为Cross-Site Request Forgery (CSRF) 标记。
阻止资源的跨站读取,因为嵌入资源通常会暴露信息,需要保证资源是不可嵌入的。但是多数情况下浏览器都不会遵守 Content-Type 消息头。例如如果在HTML文档中指定

蒙奇奇
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同源策略以及cookie安全策略
08-29
跨站点请求伪造(Cross—Site Request Forgery).以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞.甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月著名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
浏览器的同源策略:简单Cookie测试
qyqzIsJavatar的博客
12-10 64
这份文档是一个详细的分析报告,专注于Web开发中cookie的行为。为理解和测试web应用中cookie的行为提供了全面的指导,特别是在不同域和子域之间的交互。这些测试对于验证web应用在处理cookie时的安全性、可访问性和持久性至关重要。
浏览器同源策略Cookie的作用域
热门推荐
大鹏
11-25 1万+
如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。 一、    浏览器同源策略 1.1   概述        1995年,同源政策由 Netscape 公司引入浏览器
浏览器安全同源策略
xxx
06-28 1291
明确定义集成系统之间的接口和端点。确定HTTP请求和响应的格式,包括使用的数据编码格式(如JSON或XML),以及请求和响应的头部信息。定义HTTP的接口,首先应该确定接口功能和目标,明确接口的目的和提供的功能。确定接口所要实现的业务逻辑或服务,并理解它在整个系统中的角色和作用。然后选择HTTP方法和端点,根据接口的功能,选择合适的HTTP方法(如GET、POST、PUT、DELETE等)来表示接口的操作类型。同时,定义接口的端点(Endpoint),即接口的URL路径,例如:/api/users。
理解同源策略和解决跨域问题
yang1234567898的博客
04-06 2760
1、什么是同源策略 简单来说,就是域名、协议、端口相同,即为同源。同源策略是一种浏览器安全策略,规定JavaScript能读取哪些web网站的内容,从而保护网站的数据不被其他网站读取。保护用户在使用浏览器访问网站时,B网站不能读取用户存储在A网站的数据。 2、同源策略的目的 举个简单的例子: 当我们使用浏览器去访问A网站时,如果是第一次登录需要输入账号密码,为了方便下次访问,而不需要输入账号密码,服务端会给我们返回一个凭证——cookie,当前浏览器就会将这个凭证存起来,当我们下次再用这个浏览器
Cookie同源策略
Nanki_的博客
01-19 576
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
Cookie同源策略,跨域,JSONP
Sakamodokun的博客
05-31 328
三、跨域的处理方式(3种)
web前端的同源策略是什么?
āáǎà
05-08 766
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
理解同源,理解同源策略-----解决set-cookie字段失效问题
m0_55861837的博客
11-25 935
通过一个setcookie这一个字段的存储问题,了解到了同源是什么,顺便了解了一下CORS。
第八节 浏览器同源策略介绍-01
09-15
第八节 浏览器同源策略介绍-01
js同源策略详解
10-24
主要介绍了js同源策略,较为详细的分析了javascript中同源策略的概念与相关应用注意事项,需要的朋友可以参考下
同源策略详细介绍文档
05-07
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 798
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
严把质量关,饮片追溯系统应用,信息化追溯助力用药安全-亿发
YIFARJ的博客
04-26 112
随着国家政策的持续推动和各地的积极响应,相信中药饮片追溯系统将在未来发挥更加重要的作用,有助于中药饮片行业提升质量水平,净化市场环境,增强消费者对中药饮片的信任度,促进中医药产业的健康发展和可持续性增长。追溯体系可以追踪和记录药材的种植、采集、加工等全过程信息,为质量监管提供数据支持,有效防止低质量或假冒伪劣药材进入市场,保障中药饮片的品质。通过建立追溯体系,消费者可以查询药材的来源、加工过程和质量检测等关键信息,选择可靠的中药产品,提高用药安全性,避免因药材质量问题导致的用药风险。
五一节前的信息系统的安全保障工作
04-26 455
五一将近,为了能安心度假,节前做好安全保障室非常有必要的。 保障流程可以全面、有效地保障网络信息系统的安全性,提高系统的可靠性和稳定性。同时,还需要加强安全管理,完善内部控制机制,提高人员的安全意识和技能水平,以更好地保障网络信息系统的安全性。 保障内容确保通过对网络信息系统的安全保障检查,可以有效地提高系统的安全性,防范潜在的安全威胁和风险。 在执行关闭网络信息系统的流程时,需要确保操作人员具备相关的技能和经验,以及对系统关闭过程中可能出现的问题有充分的准备和应对措施。
企业计算机服务器中了rmallox勒索病毒怎么办?Rmallox勒索病毒解密流程工具
M99W1230的博客
04-26 258
在网络飞速发展的时代,企业离不开网络,网络为企业的生产运营提供了极大便利,加快了企业进步的步伐,依靠网络可以开展各项工作业务,通过网络数据整合,可以更方便企业办公。Rmallox勒索病毒属于mallox勒索家族,属于早期的勒索病毒,随着网络技术的不断发展,mallox勒索病毒做过多次升级调整,而rmallox勒索病毒是近期新升级的勒索病毒,具有较强的攻击与加密能力,一旦被攻击很难自行破解恢复,经过云天数据恢复中心对rmallox勒索病毒的解密处理,为大家整理了以下有关该勒索病毒的相关信息。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 121
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
医院手术室麻醉信息管理系统源码 自动生成麻醉的各种医疗文书(手术风险评估表、手术安全核查表)
源码技术栈的博客
04-26 906
手术麻醉信息管理系统包含了患者从预约申请手术到术前、术中、术后的流程控制。手术麻醉信息管理系统主要是由监护设备数据采集子系统和麻醉临床系统两个子部分组成。包括从手术申请到手术分配,再到术前访视、术中记录及术后恢复的全过程中都可以得到全方位的保障。
iframe 同源策略
12-28
同源策略是一种浏览器安全机制,用于限制一个源(域名、协议和端口)的文档或脚本如何与另一个源的资源进行交互。同源策略的目的是防止恶意网站通过脚本访问用户的敏感信息或执行恶意操作。 在同源策略下,一个源的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值