2.1同源策略

最新推荐文章于 2023-12-04 14:11:46 发布
最新推荐文章于 2023-12-04 14:11:46 发布
阅读量291 收藏
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiushilsy/article/details/106733904
版权

1. 概述

1.1 含义

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个策略。
同源策略是指:如果两个 URL 的 protocolhostport (如果有指定的话)都相同的话,则这两个 URL 是同源。
举例来说:http://www.example.com/index.html,在这个URL中 协议(protocol)是http域名是www.example.com端口是80(http协议默认端口)

下表给出了与 URL http://www.example.com/index.html 的源进行对比的示例:

URL结果原因
http://www.example.com/src/one.html同源协议、域名、端口均相同
https://www.example.com/two.html不同源协议不同
http://www.complex.com/three.html不同源域名不同
http://www.example.com:81/four.html不同源端口不同

1.2 目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
浏览器的同源策略,限制了来自不同源的“document ” 1 或脚本,对当前“document”读取或设置某些属性。

同源策略极其重要,试想如果没有同源策略,可能 a.com 的一段 JavaScript 脚本,在 b.com 未曾加载此脚本时,也可以随意涂改 b.com 的页面(在浏览器的显示中)。为了不让浏览器的页面行为发生混乱,浏览器提出了“Origin”(源)这一概念,来自不同 Origin的对象无法互相干扰。

1.3 限制范围

随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制。

  • Cookie、LocalStorage 和 IndexDB 无法读取。
  • DOM 无法获得。
  • AJAX 请求不能发送(可以发送,但浏览器会拒绝接受响应)。

2. 进阶

2.1 JavaScript 的源( Origin )

对于当前页面来说,页面存放 JavaScript 文件的域并不重要,重要的是加载 JavaScript 页面所在的域是什么。
例如:
a.com通过以下代码:

<script src=http://www.b.com/b.js></script>

加载了 b.com 上的 b.js,但是b.js是运行在 a.com 页面中的,因此相对于当前打开的页面( a.com )来说,b.js 的源就应该是 a.com 而非 b.com。

2.2 XMLHttpRequest

2.3 其他

对于浏览器来说,除了DOM、Cookie、XMLHttpRequest 会受到同源策略的限制外,浏览器加载的一些第三方插件也有各自的同源策略。最常见的一些插件如 Flash、Java Applet、Sliverlight、Google Gears等都有自己的控制策略。
以 Flash 为例,它主要通过网站提供的 crossdomain.xml 文件判断是否允许当前 “源” 的 Flash 跨域访问目标资源。

  1. 每个载入浏览器的 HTML 文档都会成为 Document 对象。Document 对象使我们可以从脚本中对 HTML 页面中的所有元素进行访问。 ↩︎

超级神兽小金刚
关注
专栏目录
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8402
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
详解CORS跨域内部机制,克服浏览器同源策略
qq_37635012的博客
04-30 388
CORS跨域,它的全称是"跨域资源共享"(Cross-origin resource sharing)。 跨域案例 页面地址:http://client.cors.com:8000/greeter.html,代码如下: 服务器接口地址:http://server.cors.com:3000/data,服务器代码如下: 很明显,当页面在请求服务器接口时会发生跨域现象,如下图3所示: 我们去浏览...
关于url以及同源策略
zhouxiaojie_的博客
03-26 2611
url组成 例如:http://store.compang.com:81/dir/etc.html http:就是协议 store.compang.com:是域名/主机名 也就是存放资源的服务器的域名,主机名或者ip地址 :81:是端口号 默认是“80”,只有默认情况下才可以省略 /dir/etc.html:是文件路径 可选,一般用来表示主机上的一个目录或者文件地址。 ...
同源策略
weixin_43363236的博客
02-29 243
同源策略 1、同源策略是浏览器的一种安全策略,所谓同源指的是请求URL地址中的协议、域名、端口都相同,只要其中一个不同就是跨域。 2、同源策略主要为了保证浏览器的安全性 3、在同源策略下,浏览器不允许跨域获取服务器数据。 https://www.abc.com:8080 www:域名; https:协议 8080:端口 ...
浏览器同源策略
CatCherry的博客
05-09 427
如果两个 URL 的协议端口(port)、域名(host)都相同的话,则这两个 URL同源的。下表给出了与 URLURL结果原因同源只有路径不同同源只有路径不同失败协议不同失败端口不同(http://默认端口是 80)失败主机不同同源策略是web安全策略,用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。跨源写操作(Cross-origin writes)一般是被允许的。例如链接、重定向以及表单提交。特定少数的 HTTP 请求需要添加预检请求。跨源资源嵌入。
url指的是什么_什么是同源策略?如何解决跨域问题?什么是XSS跨站脚本攻击?...
weixin_39842617的博客
12-08 338
一. Ajax跨域问题跨域:只要协议、域名、端口有一个不同,就被当做不同的域。ajax跨域:利用ajax技术请求不同域名上的数据。1. 什么是同源策略同源策略是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。A网页设置的 Cookie,B网页不能打开,除非这两个网页“同源”。同源策略的作用:防止其他网页对本网页的非法篡改。同源指的是:协议、...
七、同源策略,跨域,解决同源限制,JSONP,防抖和节流
快乐de馒头
01-09 545
(一)同源策略 1.同源 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源。 例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测: 2.同源策略 同源策略(英文全称Same origin policy)是浏览器提供的一个安全功能。所谓同源是指域名,协议,端口完全相同,只要有一个不相同则不同源,不同源即跨域 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜.
跨域、同源策略、JSON
qq_52807480的博客
08-18 103
浏览器同源策略 说明: 浏览器解析页面时,当页面中有ajax请求时,则要求页面的URL地址,与Ajax请求的地址必须满足同源策略的规范. 同源策略: 1.请求协议 http:// 、https:// 2. 请求域名 3.请求的端口 上述的三项必须死等(必须长得一模一样). 满足同源策略.浏览器可以解析数据,否则不能正常解析. ASCII码不同则不满足同源策略 案例练习1: URL: http://www.jd.com/xxx/xxx Ajax: ...
记录一个因网络同源策略(Same Origin Policy)引起的错误
import totw.Blogs;
06-27 563
记录一个因网络同源策略引起的错误 最近用.NET Core加C#写了一个REST API的web应用。将应用放在了Mircosoft Azure上。测试的时候,用Postman发送各种HTTP请求,都成功执行并得到返回数据。而后又用JS写了一个简单的客户端,利用XMLHttpRequest发送请求。用Chrome运行客户端的时候,问题出现了。在发送GET请求的时候,没有任何数据返回。 一开始以...
同源策略与CORS(跨源资源共享)以及django项目支持CORS
花城的博客
01-04 3812
文章目录一、同源策略/SOP(Same origin policy)1.1 源(origin)的定义1.2 同源的含义1.3 同源策略二、CORS(跨源资源共享)2.1 预检请求2.2 请求分类2.3 简单请求2.4 非简单请求三、使Django项目支持CORS3.1 自定义中间件3.2 使用django-cors-headers3.2.1 安装3.2.2 配置 一、同源策略/SOP(Same origin policy) 1.1 源(origin)的定义 以下三个部分共同构成了一个源: 协议:如htt
什么是同源策略
weixin_30730151的博客
06-26 153
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Do...
同源策略讲解
最新发布
weixin_54574094的博客
12-04 1773
在学习同源策略时,我们必须要再次明确浏览器和服务器等关系。浏览器发起请求,服务器接收请求并返回响应。而同源策略是浏览器的安全策略。就相当于浏览器的门,服务器是主人。门是有锁(同源策略)的,只有有钥匙🔑的人才可以进门(也就是跨域问题,就是进门问题)。那钥匙是谁给的呢?就是服务器给的,所以配置跨域资源共享就是服务器配置的。服务器定义了只有哪些网络连接可以访问我的服务器,举个例子:www.baidu.com访问不了谷歌的服务器。
网络 浏览器同源策略、跨域、解决跨域(分享)
weixin_60547084的博客
03-31 2270
文章目录1. 同源策略 1. 同源策略
懂你网络系列8之同源策略
mt811的博客
05-27 1297
一.简介 web世界最初是为知识共享而诞生的,所以开放是web世界的最基本的理念,我们的网站可以接入任何的资源的,可以去上传下载文本,图片,音频视频,软件等。但是这些行为如果在web世界绝对的自由,不施加任何限制的话,这将造成很多不可控的安全问题,比如我常见的钓鱼网站,如果没有一些安全措施,这些恶意的站点可以为所欲为,例如:修改银行站点的 DOM、CSSOM 等信息;在银行站点内部插入 JavaScript 脚本;劫持用户登录的用户名和密码;读取银行站点的 Cookie、IndexDB 等数据;甚至还可以将
同源策略】基础内容
JT61100的博客
04-17 873
文章目录同源策略url(资源定位器)的构成域名解析1、域名是倒着解析的2、顶级域名3、端口4、当你在浏览器里输入一个url发生了什么TCP/UDP(传输层协议)面向连接的 TCP面向非连接的 UDP 协议三次握手四次挥手应用层协议:http https等http (请求报文,响应报文) 通过报文进行沟通常见的 http 状态码请求方方法 `GET` `POST` 的区别浏览器缓存机制(http) 同源策略 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。 所谓同源是指,域名,协
了解同源策略及跨域问题解决
qiuyueya的博客
07-23 147
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。如果两个URL的号都相同,就称这两个URL同源
AJAX - 同源策略&跨域
vip77778888的博客
01-12 220
同源策略 什么是同源策略 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源URL 之间进行资源的交互 同源指的是两个 URL 的协议,主机名,端口号完全一致,反之,则是跨域。 浏览器对跨域请求的拦截过程 浏览器允许发起跨域请求。但跨域请求回来的数据,会被浏览器拦截,无法被页面获取到 跨域限制 突破浏览器跨域限制的三种方案 1....
Flash跨域策略文件crossdomain.xml详解与安全指南
2.1 文件放置位置 自Flash 10开始,crossdomain.xml文件应放在目标域的根目录下作为主策略文件,否则该域将默认拒绝所有跨域请求。此外,还可以在特定路径下设置次级策略文件,但其权限受site-control策略影响,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值