HTML页面安全策略汇总(1):同源策略、CORS、COOP、COEP

最新推荐文章于 2024-05-05 15:23:37 发布
最新推荐文章于 2024-05-05 15:23:37 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: html 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44384265/article/details/128152783
版权

本文为HTML标准解读系列文章,其他文章详见这里

在所有浏览器的安全策略中,同源策略是最基础、最核心的策略,很多其他衍生出来的策略都只是同源策略的“补丁”,包括本文提到的其他安全策略:CORS、COOP、COEP。

两个URL,只有在协议、域名、端口都相同的情况下才算是“同源”,对于不同源(以下称为“跨源”)的页面或者资源,同源策略会在以下层面给他们施加约束:

  1. js APIs的访问限制:有时候,我们可以通过window.contentWindowwindow.parentwindow.openerwindow.top访问其他页面的window对象。但是当该window对象指向的页面是跨源的时候,该window对象的绝大部分的属性/方法是不可访问的。

    比如,尝试使用window.document访问跨源页面的DOM会报错:

    ❌:Uncaught DOMException: Blocked a frame with origin “https://XXX.com” from accessing a cross-origin frame.

    在跨源window对象上允许使用的为数不多的几个方法中,最有用的是window.postMessage(),这个方法允许你在跨源windows之间安全地进行交流。

  2. 数据隔离:对于indexedDB以及localStorage/sessionStroage,不同的源是使用一个独立的存储空间的,且这个存储空间是无法被跨源的js代码直接读取的。

  3. 外部资源的读取:在页面中请求跨源资源时,如果没有使用CORS,那么拿到的资源称为「不透明资源」。不透明资源可以被页面嵌入,但不能使用脚本读取。 具体的几个例子是:

    • 跨源的图片可以正常插入到页面中,但是无法使用canvas.get
最低0.47元/天 解锁文章
水鱼兄
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
新的跨域策略:COOPCOEP
奇舞周刊
09-02 1249
Web 资源可组合性是 Web 的非常强大的一项能力,你可以轻而易举的加载来自不同来源的资源来增强网页的功能,例如:font、image、video 等等。这些服务非常强大,也很方便,但...
HTML5安全:CORS(跨域资源共享)简介
tempsitegoogle
07-09 619
前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实...
前后端分离遇到CORS问题的解决办法
最新发布
weixin_74923758的博客
05-05 1110
头部(只是其中一个头部)是用来声明哪些源可以访问服务器资源的HTTP响应头部。当服务器收到跨域请求时,需要在响应中包含这个头部,并且指定允许访问资源的来源域名。如果没有正确设置这个头部,那么浏览器会阻止跨域请求,导致出现CORS错误。// 替换为您的前端域名next();});这样子设置可以允许所有来源的跨域请求,并指定允许的请求方法和请求头。但是在实际生产环境中,一定要限制允许的来源,而不是使用通配符 *// 替换为您的前端域名next();});});});
如何设置跨域隔离启用 SharedArrayBuffer
JAVAQXQ的博客
08-05 2556
以上就是我在使用 wasm SharedArrayBuffer 的功能的时候总结出的经验,如果有不对的地方欢迎指出。
由一个报错引发的浏览器跨域隔离探索
A_991128a的博客
02-24 1234
1.SharedArrayBuffer是用来和线程之间进行数据交换访问的高效方法,被大量应用,例如WebAssembly 就使用 Worker 模拟了多线程。SharedArrayBuffer等可以用来当作高精度的计时器,为Spectre漏洞带来了方便。2.为了降低Spectre漏洞带来的危害,SharedArrayBuffer等支持高精度时间计算的API及可能方便为spectre漏洞提供内存共享的API都需要在跨域隔离的状态下才能启用。
跨域隔离
qq_34754747的博客
04-14 4424
跨域隔离指南 一、跨域隔离介绍 https://web.dev/coop-coep/ 1、 起因: 一些Web API会增加诸如Spectre之类的旁道攻击的风险,为了减轻这种风险,浏览器提供了一种基于选择加入的隔离环境,称为跨域隔离。在跨域隔离状态下,该网页将能够使用以下特权功能: SharedArrayBuffer WebAssembly线程必需。这可从Android Chrome 88中获得。桌面版本当前默认情况下是借助Site Isolation启用的,但是将
HTML5安全介绍之内容安全策略(CSP)简介
09-28
前言:HTML5出现后,网络安全更加受到广泛的关注。Web对于网络安全有哪些改进?我们如何来面对越来越危险的网络欺诈和攻击...未来有机会的话,我会针对XSS、P3P、同源策略CORS(跨域资源共享)和CSP进行关于HTML5内容
深入浅析同源策略和跨域访问
11-22
同源策略是Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
cors:Node.js CORS中间件
02-03
CORS是一个node.js软件包,用于提供可用于通过各种选项启用的 / 中间件。 安装 这是通过提供的模块。 使用完成 : $ npm install cors 用法 简单用法(启用所有CORS请求) var express = require ( 'express' ) ...
python-cors:用于处理 HTTP 请求和同源策略的 Python 包
06-18
用于处理 HTTP 请求和同源策略的 Python 包。 概述 该软件包旨在通过能够自动测试我们发出的任何请求是否也可以从具有其他来源的脚本的浏览器发出来改进自动化 HTTP API 测试。 此包中的代码力求与您用于实际发出 ...
npm-cors-proxy:NPM注册表的Cors代理
05-15
`npm-cors-proxy`就是这样一种工具,它是一个NPM模块,专门用于创建一个启用了CORS的代理服务器,以允许前端应用绕过同源策略,安全地与NPM注册表进行交互。 ### CORS基础 CORS是一种机制,它使用额外的HTTP头部来...
Spring Boot配置跨域访问策略
JoeBlackZQQ的专栏
04-04 426
From: https://blog.csdn.net/garyond/article/details/80192760 1. 引言 我们在开发过程中通常因为不同应用之间的接口调用或者应用之间接口集成时经常会遇到跨域问题, 导致无法正常获取接口数据,那么什么是跨域? 跨域的解决办法是什么? 下面结合Spring Boot相关的项目应用实战, 详解说明跨域的解决方案。 1.1 什么是跨域(COR...
静态HTML文件中引入js跨域报错Cross origin requests are only supported for......
qq_43507356的博客
01-16 538
静态HTML文件中引入js跨域报错Cross origin requests are only supported for......本文场景原因解决方法 本文场景 在使用vs code写html时,引入的js文件需要跨域引入module。 原因 使用了File协议,需要使用http, data, chrome-extension, edge, https等协议,通俗来讲就是需要用到服务器开个端口。 解决方法 直接在vs code中右击,选择Open with Live Server。 ...
个人用安全防护配置笔记
皮蛋很白的博客
05-05 689
XSS 防护 输入输出过滤 xss.js - HTML 转义 encodeURI or encodeURIComponent - url 地址转义 Cookie 设置 HttpOnly Cookie 设置 HttpOnly 禁止通过 JS 方式读取 Cookie。 Content-Security-Policy 内容安全策略 CSP(Content-Security-Policy) 本质上是开发者可以自定义的白名单制度,可以告诉浏览器可以加载和执行哪些外部资源。 有两种方式可以启用 CSP: 设置 H
html 自动跨域跳转_CORS跨域学习篇
weixin_32319177的博客
01-24 1026
CORS跨域访问什么是CORS全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。CORS漏洞利用CORS技术窃取用户敏感信息同源策略简介同源策略是浏览器最核心也是最基本的安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的dom、cookie、session、ajax等操作的权限资源。同源有三个条件:协议、域名、端口相同同源检测的示例检测成功的之后同协议、同域名、...
前端开发之跨源读取阻止
m0_58371965的博客
10-18 7377
我们通常提到跨域问题的时候,相信大家首先会想到的是 CORS(跨源资源共享),其实 CORS 只是众多跨域访问场景中安全策略的一种,类似的策略还有: COEP: Cross Origin Embedder Policy:跨源嵌入程序策略 COOP: Cross Origin Opener Policy:跨源开放者政策 CORP: Cross Origin Resource Policy:跨源资源策略 CORB: Cross Origin Read Blocking:跨源读取阻止 COEP、COOP
理解WEB前端安全:同源策略与跨域特性分析
"WEB前端安全之同源策略.pdf" 在网络安全领域,同源策略(Same-Origin Policy,SOP)是Web浏览器中的一个关键安全机制,它限制了来自不同源的脚本之间相互访问和操作资源的能力,以此来保护用户的数据安全。同源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值