在开始本篇博客之前,我想先声明,本人初涉安全领域知识,此博客用于记录日常渗透练习心得,并不提倡用着专业指导知识,请选择性阅读。
因为相关知识的练习性,先对部分名词含义进行说明。
跨域:
URL(统一资源定位符)中有
协议,子域名,主域名,端口,资源地址。在任意两个URL中这几个部分中任意部分纯在不同就是跨域操作。我们把任意两个域间进行的资源访问操作称为跨域操作。
同源策略:同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
所谓同源是指,域名,协议,端口相同
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。 [1]
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
即两个不同域名之间不能通过javascript来操作。比方说A.COM下的js就不可以操作B.COM下的对象。
当然,如果真的想要实现跨域操作是不是就没办法实现了呢,也不是,管理员可以通过header()指定。
同时,也不是所有的URL都服从同源策略: