浏览器同源策略介绍

最新推荐文章于 2022-06-28 10:30:45 发布
最新推荐文章于 2022-06-28 10:30:45 发布
阅读量284 收藏 1
点赞数
分类专栏: web安全 文章标签: mysql memcached sql 数据库 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46370858/article/details/113870281
版权

浏览器同源策略介绍

1. 源的含义
源指源头,信息来源的位置。在计算机中源在RFC6454文档中规定,源是由协议、主机名、端口名组成。
范例: 协议://主机名:端口号/
例如:http://www.example.com 与 https://www.example.com 不是同源。
2. 同源策略
在计算机中,同源策略(Same-origin Policy , SOP)用于阻止一个非同源的页面恶意代码去访问另外一个非同源页面。
只有两个页面属于同一个源才能互相访问。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。
例如:源A页面要访问源B页面认证Cookie,如果不加阻止读取Cookie,会造成Cookie欺骗绕过登陆验证。
注意:同源一定要是 协议、主机名、端口号完全一致。在这里插入图片描述
在这里插入图片描述
3. IE源的特殊处理
1、位于可信域(Trust Zones)的互信的域名间,不受同源策略限制。

2、IE在判断同源时不考虑端口。

可是通过document.domain 读取或修改源。但是有限制,修改之后的源不能通过其他脚本再次修改。

4. document.domain
domain 属性可以解决因同源安全策略带来的不同文档的属性共享问题。降域 document.domain
同源策略认为域和子域属于不同的域,如:
child1.a.com 与 a.com,
child1.a.com 与 child2.a.com,
xxx.child1.a.com 与 child1.a.com
两两不同源,可以通过设置 document.damain=‘a.com’,浏览器就会认为它们都是同一个源。想要实现以上任意两个页面之间的通信,两个页面必须都设置documen.damain=‘a.com’。

The domain name for this document is:

一米八多的瑞兹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
同源策略介绍
weixin_44174581的博客
08-11 1757
同源策略 同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。 1.file域的同源策略 只有当源文件的父目录是目标文件的祖先目录时,文件才能读取另一个文件。 2.cookie的同源策略 cookie使用不同的源定义方式,一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 不管使用哪个协议(HTTP/HTTPS)
第八节 浏览器同源策略介绍-01
最新发布
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
同源策略详细介绍文档
05-07
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI](https://zh.wikipedia.org/wiki/统一资源标志符)、[主机名](https://zh.wikipedia.org/wiki/主機名稱)和[端口号](https://zh.wikipedia.org/wiki/通訊埠),一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。此策略可防止某个网页上的恶意[脚本](https://zh.wikipedia.org/wiki/脚本)通过该页面的[文档对象模型](https://zh.wikipedia.org/wiki/文档对象模型)访问另一网页上的敏感数据。
浏览器同源策略详解
weixin_33794672的博客
09-02 347
概念 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权(通常是指后端给予你权力)的情况下。不能读写对方的资源。简单的来说,浏览器不允许包含在腾讯页面的脚本访问阿里巴巴页面的数据资源,会受到同源策...
同源策略》的简单介绍
weixin_34383618的博客
03-25 348
[TOC] 1、概述 同源策略是对JavaScript代码能够操作哪些WEB内容的一条完整的安全限制,也是由Netscape提出的一个著名的安全策略。所谓同源简单来说就是“三个相同”,**1、域名相同2、协议相同3、端口相同** 当我们使用多个<iframe>元素或者打开其他浏览器窗口的时候,这一策略就会发挥它的作用,在这种情...
详解基于浏览器同源策略的几种跨域方式
09-22
主要介绍了详解基于浏览器同源策略的几种跨域方式的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
js同源策略详解
12-10
本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下: 概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个...
同源策略的简单介绍
yw_2022的博客
05-17 71
同源策略
同源策略
weixin_34302561的博客
05-23 149
hello,小伙伴们,又到了《Shealtiel奇遇记》时间了,是不是很期待呢~好了,咱们闲言少叙,奇遇继续~同源策略几乎是前端面试中几乎必然问到的问题。但是很多同学对同源策略的理解不够深入,今天我们就来聊聊同源策略的问题。首先按照老规矩,我们先来提出几个问题:1. 什么是同源?2. 为什么要有同源策略?一句话解释同源就是:相同协议,相同域名,相同端口称为同源。下面我们还是用邓哥抄作业的故事来讲述...
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
同源策略以及解决跨域问题
Xstar12的博客
03-08 283
Access-Control-Allow-Origin 报跨域错误 Access to XMLHttpRequest at ‘https://m.lagou.com/listmore.json’ from origin ‘http://localhost’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ head...
同源策略 & 内容安全策略
4ct10n
12-18 1865
为了更好的理解掌握 同源策略(Same origin policy)、内容安全策略(CSP,ContentSecurityPolicy)、跨站脚本攻击(Cross Site Scripting)、跨站请求伪造(Cross-site request forgery)、服务器端请求伪造(Server-Side Request Forgery)做了以下实验环境配置 在80端口开放Apache服务器 在80
浏览器安全---同源策略(持续更新)
qq_43511094的博客
08-02 147
浏览器同源策略浏览器同源策略是一个最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能就会受到影响。 浏览器同源策略,限制了来自不同源的脚本或者document对当前的document进行读取或设置某些属性。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 同源的定义: 如果页面的ip,子域名,协议和端口号这四者都一致,则认为他们是同源的 ...
浏览器同源策略
积累,在于坚持
01-17 395
同源: 协议相同域名相同端口相同 本域脚本只能读写本域内的资源,无法访问其他域的资源。 现代浏览器在安全性和可用性之间选择了一个平衡点,在遵循同源策略的基础上,选择性的未同源策略”开放了后门“。img、script、style等标签,都允许跨域引用资源,严格说这都是不符合同源要求的。然而,也只是引用而已,并不能读取这些资源的内容。这些带有“src”属性的标签每次加载的时候,实际上
什么是浏览器同源策略
weixin_47220950的博客
04-07 145
什么是浏览器同源策略? 概念 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 同源 是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: 浏览器中的大部分内容都是受同源策略限制的,但是以下三个标签可以不受限制: <img src=XXX> <link href=XXX>
什么是同源策略
weixin_70437515的博客
06-28 9310
概述:先来看看 域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略浏览器很容易受到XSS、CSRF等攻击。同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。同源策略限制内容有:但是有三个标签是允许跨域加载资源:跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。跨域解决方案解决方案有jsonp、cors、postMessage、websocket、Node中间件代
浏览器同源策略及跨域解决方案
城北荆无命的博客
10-12 2047
什么是浏览器同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,...
浏览器同源策略机制
07-27
浏览器同源策略(Same Origin Policy)是一种安全机制,用于限制一个网页文档或脚本如何与其他源(域、协议、端口)的资源进行交互。同源策略的目的是防止恶意网站通过跨域请求获取用户的敏感信息或执行恶意操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一米八多的瑞兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值