浏览器的同源策略(web前端黑客技术揭秘总结)

最新推荐文章于 2024-09-06 22:57:14 发布
最新推荐文章于 2024-09-06 22:57:14 发布
阅读量201 收藏
点赞数 1
文章标签: html5 ajax 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45418565/article/details/105945869
版权

浏览器的同源策略
概念:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源
1.同域不同域:
同协议,同域名,同端口相同才同域
通常说的同域就是同源
2.客户端脚本
客户端脚本主要指javascript和actionscript(flash的脚本语言)以及二者都遵循的ECMAScript脚本标准。Flash提供通信接口,使得两个脚本语言可以方便的通信。客户端的攻击以javascript最广泛
3.客户端授权现象
例如:HTML5新标准中提到关于AJAX跨域访问的情况,默认情况下是不允许跨域访问的,只有目标站点(假如是http://www.zhaoge.com)明确返回HTTP响应头:

Access-Control-Allow-Origin:http://www/evil.com

那么www.evil.com站点上的客户端脚本才有权通过AJAX技术对www.zhaoge.com上的数据进行读写操作
(注:AJAX是Asynchronous javascript And XML的缩写,可让数据进行异步传输,常见使用场景:对网页的局部数据进行更新时,不需要刷新整个网页,以节省带宽资源)
4.资源
资源是个广泛的概念,只要是数据都可认作资源,例如包括HTTP头,DOM树,FLASH cookies等。
注:DOM全称是Document Object Model,即文档对象模型,就是浏览器将HTML/XML这样的文档抽象成一个树形结构,方便javascript对标签内容及属性进行读写操作

总结:同源策略重要性:如果没有同源策略,当你登录Gmail邮箱时再打开另一个站点,这个站点的javascript就可以跨域读取你的Gmail数据,那么web还有隐私可言吗?

%进击的小强%
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web浏览器同源策略
weixin_45525005的博客
04-25 314
同源策略含义: A网页的用户cookie,B网页不能打开读取 ,除非两个网页是“同源”的。 接下来解释同源 : 同源指的是三个相同即:协议相同,域名相同,端口相同。 当一个浏览器的 两个tab页中分别打开了百度和淘宝的页面, 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于那个页面的,即检查 是否同源, 只有 和百度 同源的脚本才会被执行。 如果非同源,那么在请求数据时,...
浏览器同源策略
bai___DDD的博客
03-06 124
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源的定义 如果两个 URL 的protocol、port(en-US)(如果有指定的话)和host都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是“元组”。(“元组” 是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。 下表给出了与 URLhttp://store.compa...
同源策略ajax跨域
Aenm的博客
07-08 186
首先要从头来讲。浏览器本身存在同源策略。协议,域名,端口相同,视为同一个域,一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略同源策略保证了资源的隔离。一个网站的脚本只能访问自己的资源,就像操作系统里进程不能访问另一个进程的资源一样,如果没有同源策略,你在网站浏览,跳转其他网页,然后这个网页就可以跨域读取你网站中的信...
什么是同源策略,所带来的影响
xiaoHelloWord的博客
07-03 990
所谓的同源策略就是,同域名,同端口,同协议 那么所带来的影响: 它影响了与BOM,DOM间的交互.如:不可以访问不同来源的任何页面的document对象,也就是说不能访问其中任何DOM结构 ...
前端人员都懂的浏览器同源策略,以及如何进行不同源间的相互访问
青颜的天空的博客
03-11 1353
引言 作为前端开发人员,你要是连同源策略都不知道是什么,那就太说不过去了。本篇文章将讲述同源策略的定义, 以及当我们需要克服同源策略,如何进行跨域访问数据的方法。 一、同源策略的定义 同源策略浏览器自带的一种安全策略,他是指协议、域名、 端口 三个都相同的才能互相访问,即若协议、域名、端口有一个不相同时,浏览器禁止页面加载或执行与自身不同域的脚本。 那既然有同源的概念,那必定有不同源的概念,接下来我们来看一个组例子, 理解一下什么是同源,什么是不同源。 url 是否同源(以及原因) .
Web前端黑客技术揭秘(Web2Hack.org)_(e)目录1
08-03
Web前端黑客技术主要关注的是如何利用前端开发中的漏洞进行攻击,同时也揭示了如何防止这些攻击。以下是关于这个主题的一些关键知识点: 1. **数据与指令**:在Web应用中,数据和指令通常混合在一起,这可能导致...
Web前端黑客技术揭秘(Web2Hack.org)_(i)7.6.5 跨子域:document.domain技巧1
08-03
Web开发中,跨域策略是一项重要的安全机制,它限制了不同源的文档或脚本之间的交互。然而,有时候为了实现特定功能,如单点登录(SSO)或资源共享,开发者会利用`document.domain`属性来打破这种限制,允许跨子域...
web前段黑客技术揭秘
03-22
### Web前端黑客技术揭秘之CSP策略 随着互联网技术的发展,Web前端开发逐渐成为软件工程中的重要组成部分。然而,伴随着其广泛应用,Web前端也成为了黑客攻击的目标之一。本文旨在深入探讨一种重要的防御措施——...
2022年Web前端开发流程和学习路线(详尽版)
weixin_47367099的博客
06-13 9156
前端侧重于人机交互和用户体验,后端侧重于业务逻辑和大规模数据处理。理论上,面向用户的产品里,所有问题(包括产品、设计、后端、甚至看不见的问题)的表现形式,都会暴露在前端,而只有部分问题(数据问题、计算问题、安全问题等)暴露在后端,这就意味着前端起到了至关重要的承载和连接作用。前端技术的更新日新月异;前端框架的技术选型百家争鸣;视觉审美的潮流不断更替;可视化效果酷炫无比;用户的运营体系逐渐精细化;适老化、无障碍化、青少年人群的诉求浮出水面;智能设备的升级和适配无穷无尽。所有的这一切,对前端领域和前端同学就一个
中秋之美——html5+css+js制作中秋网页
Timi2019的博客
09-02 926
八月十五,秋已过半,是为中秋。“但愿人长久,千里共婵娟”,中秋时节,气温已凉未寒,天高气爽,月朗中天,正是观赏月亮的最佳时令。古人把圆月视为团圆的象征,因此,又称八月十五为“团圆节”。
HTML和HTML5有什么区别
m0_56131422的博客
08-30 1585
HTML,即超文本标记语言,是构建网页的标准语言。最初版本的HTML简单地定义了网页的结构和内容,包括文本、图片、链接等元素。HTML的基本标签包括等,它们帮助浏览器正确渲染网页内容。HTML5是HTML的第五个主要版本,旨在解决Web开发中的一些长期存在的问题,并引入了许多新功能。HTML5不仅扩展了现有功能,还增强了对多媒体、图形和应用程序的支持。
06_React ajax
所学所思
09-03 1164
1、React 本身只关注于界面,并不包含发送 ajax 请求的代码 2、前端应用需要通过 ajax 请求于后台进行交互(json 数据) 3、React 应用中需要集成第三方 ajax 库(或自己封装)1、jQuery:比较重,如果需要另外引入不建议使用 2、axios:轻量级,建议使用 1)封装 XmlHttpRequest 对象的 ajax 2)promise 风格 3)可以用在浏览器端和 node 服务器端FeHelper(前端助手):JSON 自动格式化,手动格式,支持排序、解码、下载等等“pro
SSM+Ajax实现广告系统
最新发布
wu1113_的博客
09-06 1064
SSM+Ajax实现广告系统
jQuery基础——Ajax
m0_54066656的博客
09-03 1626
JQ中的ajax
AJAX基础与进阶
2301_80441013的博客
09-02 1035
js代码修改之后,需要重新调用后台,Ctrl C关闭之前端口,重新启用新端口。注意:send( )只能接受字符串类型,想要传递对象等其他类型,则必须进行转换。在 url 后面缀参数,用 问号 分隔,多个参数之间用 & 分隔。1. 黄框中的响应头,可以设置任意的响应头,自定义的也可以。2. 红框中,将对象转变成字符串,使得send可以传递对象。好啦~本次的分享到这里就结束啦~~~我们下次不见不散~~~回到原来终端,在用node 文件名,实现运行。注意:这三个文件都要有,一个没有都不可以。
【盖世汽车-注册安全分析报告】
09-02 1412
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
【精选】文件摆渡系统:跨网文件传输的安全与效率之选
文件数据安全交换
09-06 933
同时满足安全与效率兼顾的文件摆渡系统,那就是Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》,这是一款由飞驰云联自主研发的安全产品,可以有效解决内外网间、多个网络之间、HPC环境下、云租户之间的跨网文件摆渡需求,通过多审核审批、日志审计、防病毒、DLP检测、传输加密、权限管控、传输加速等,实现统一的文件摆渡安全管控,提高网间数据交互效率。支持企业微信、钉钉等进行消息通知集成。系统内置DLP检测功能,可检测文件的大小、文件名、文件个数、文件来源、敏感内容、文件类型、是否含有病毒等。
高端控制台使用过程中如何保证用电安全
JiaDeLi_console的博客
09-03 521
因此,在使用过程中,采取有效措施确保用电安全,不仅关乎设备寿命,更直接关系到人身安全及数据安全。同时,增强员工的安全意识,让每个人都成为用电安全的守护者,共同营造一个安全、稳定的工作环境。在高端控制台的使用过程中,可以引入智能监控系统,实时监测电力参数、环境温度等关键指标,一旦发现异常立即报警,为及时处理问题提供有力支持。总之,高端控制台使用过程中的用电安全是一项系统工程,需要从电源布局、设备选型、日常维护、人员培训以及智能监控等多个方面入手,全方位、多角度地确保用电安全,为设备的稳定运行保驾护航。
网络安全售前入门09安全服务——安全加固服务
打工人
09-02 1343
安全加固服务是参照风险评估、等保测评、安全检查等工作的结果,基于科学的安全思维方式、长期的安全服务经验积累、对行业的深刻理解、处理安全事件的最佳实践,为客户提供完善的安全加固方案,并在客户侧反馈完成加固后,提供二次评估服务,从而帮助客户达到修补信息系统脆弱性,提高系统安全性,满足相关政策法规的目的。
Web前端黑客技术揭秘同源策略安全攻防
"Web前端黑客技术揭秘" 在网络安全领域,同源策略浏览器实施的一项核心安全措施,用以保障用户信息的安全。"浏览器同源策略-gb/t 17626.2-2006"这个标题指的是浏览器遵循的同源策略标准,它规定了网页只能访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值