2.1同源策略

最新推荐文章于 2022-04-21 09:50:20 发布
最新推荐文章于 2022-04-21 09:50:20 发布
阅读量257 收藏
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiushilsy/article/details/106733904
版权

1. 概述

1.1 含义

1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个策略。
同源策略是指:如果两个 URL 的 protocolhostport (如果有指定的话)都相同的话,则这两个 URL 是同源。
举例来说:http://www.example.com/index.html,在这个URL中 协议(protocol)是http域名是www.example.com端口是80(http协议默认端口)

下表给出了与 URL http://www.example.com/index.html 的源进行对比的示例:

URL结果原因
http://www.example.com/src/one.html同源协议、域名、端口均相同
https://www.example.com/two.html不同源协议不同
http://www.complex.com/three.html不同源域名不同
http://www.example.com:81/four.html不同源端口不同

1.2 目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
浏览器的同源策略,限制了来自不同源的“document ” 1 或脚本,对当前“document”读取或设置某些属性。

同源策略极其重要,试想如果没有同源策略,可能 a.com 的一段 JavaScript 脚本,在 b.com 未曾加载此脚本时,也可以随意涂改 b.com 的页面(在浏览器的显示中)。为了不让浏览器的页面行为发生混乱,浏览器提出了“Origin”(源)这一概念,来自不同 Origin的对象无法互相干扰。

1.3 限制范围

随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制。

  • Cookie、LocalStorage 和 IndexDB 无法读取。
  • DOM 无法获得。
  • AJAX 请求不能发送(可以发送,但浏览器会拒绝接受响应)。

2. 进阶

2.1 JavaScript 的源( Origin )

对于当前页面来说,页面存放 JavaScript 文件的域并不重要,重要的是加载 JavaScript 页面所在的域是什么。
例如:
a.com通过以下代码:

<script src=http://www.b.com/b.js></script>

加载了 b.com 上的 b.js,但是b.js是运行在 a.com 页面中的,因此相对于当前打开的页面( a.com )来说,b.js 的源就应该是 a.com 而非 b.com。

2.2 XMLHttpRequest

2.3 其他

对于浏览器来说,除了DOM、Cookie、XMLHttpRequest 会受到同源策略的限制外,浏览器加载的一些第三方插件也有各自的同源策略。最常见的一些插件如 Flash、Java Applet、Sliverlight、Google Gears等都有自己的控制策略。
以 Flash 为例,它主要通过网站提供的 crossdomain.xml 文件判断是否允许当前 “源” 的 Flash 跨域访问目标资源。

  1. 每个载入浏览器的 HTML 文档都会成为 Document 对象。Document 对象使我们可以从脚本中对 HTML 页面中的所有元素进行访问。 ↩︎

超级神兽小金刚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【浏览器安全机制】一文带你了解同源策略(Same origin policy)及跨域请求
等风来
08-24 7362
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
了解同源策略及跨域问题解决
qiuyueya的博客
07-23 106
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。如果两个URL的号都相同,就称这两个URL同源。
网络 浏览器同源策略、跨域、解决跨域(分享)
weixin_60547084的博客
03-31 1724
文章目录1. 同源策略 1. 同源策略
同源策略】基础内容
JT61100的博客
04-17 828
文章目录同源策略url(资源定位器)的构成域名解析1、域名是倒着解析的2、顶级域名3、端口4、当你在浏览器里输入一个url发生了什么TCP/UDP(传输层协议)面向连接的 TCP面向非连接的 UDP 协议三次握手四次挥手应用层协议:http https等http (请求报文,响应报文) 通过报文进行沟通常见的 http 状态码请求方方法 `GET` `POST` 的区别浏览器缓存机制(http) 同源策略 浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。 所谓同源是指,域名,协
同源策略
weixin_43363236的博客
02-29 222
同源策略 1、同源策略是浏览器的一种安全策略,所谓同源指的是请求URL地址中的协议、域名、端口都相同,只要其中一个不同就是跨域。 2、同源策略主要为了保证浏览器的安全性 3、在同源策略下,浏览器不允许跨域获取服务器数据。 https://www.abc.com:8080 www:域名; https:协议 8080:端口 ...
Oracle Communications Data Model RN 11.3.2.3-20.pdf
06-17
这些Intra-ETL包是数据处理流程的核心,它们负责转换和整合来自不同源的策略和计费数据,为决策支持和业务洞察提供精细化的信息。 此外,Release 11.3.2.1对BRM(Billing and Revenue Management)适配器进行了变更...
数据中心系统规划设计参考标准.pdf
10-14
2.1. 设计原则强调了高可用性、可扩展性、安全性、经济性和环保性。这些原则是数据中心设计的基石,确保了数据中心能够持续稳定地运行,并适应未来业务增长。 2.2. 设计策略涉及如何根据业务需求和资源条件制定实施...
经营分析系统建设实施计划方案书.doc
10-02
2.3.1 数据仓库:作为数据存储的核心,数据仓库负责将来自不同源的数据进行整合,提供一致视图,便于分析。 2.3.2 联机分析(OLAP):支持多维数据分析,允许用户从不同角度快速提取信息,进行深度探索。 2.3.3 ...
大数据时代计算机信息处理技术分析.docx
12-17
Variety意味着数据类型多样,包括结构化、半结构化和非结构化数据,如文本、图像、音频、视频等,需要灵活的数据处理策略;Velocity则强调数据产生的速度快,需要实时或近实时的处理能力。 1.2 大数据存储技术 面对...
工业大数据技术架构概述.docx
11-17
集成处理层的任务是整合来自不同源的数据,创建主题数据库,如产品、产线、供应链等,通过数据清洗和转换,将物理实体与虚拟模型关联,提供给后续的分析和决策。 2.3 数据建模与分析 该层涉及数据的建模和深度分析...
同源策略以及绕过此限制的方法
duzm200542901104的专栏
01-05 4056
一、同源策略 1、何为同源? 所谓"同源"指的两个网页url的三个部分是相同的: http://www.example.com:80/dir/page.html 协议相同 域名相同 端口相同 2、同源策略 同源策略是Web应用程序安全模型中的一个重要概念,它由 Netscape 公司在1995年引入浏览器。该策略最初是为保护DOM的访问而设计的,Web浏览器允许第一个Web页面中包含...
同源策略&跨域
m0_67841039的博客
04-21 2850
了解同源策略&跨域 1.什么是同源 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 例如,下表给出了相对于 http://www.test.com/index.html 页面的 5 个同源检测结果: 2.什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互。 3.什么是跨域 同源指的是两个 URL 的协议
懂你网络系列8之同源策略
mt811的博客
05-27 1270
一.简介 web世界最初是为知识共享而诞生的,所以开放是web世界的最基本的理念,我们的网站可以接入任何的资源的,可以去上传下载文本,图片,音频视频,软件等。但是这些行为如果在web世界绝对的自由,不施加任何限制的话,这将造成很多不可控的安全问题,比如我常见的钓鱼网站,如果没有一些安全措施,这些恶意的站点可以为所欲为,例如:修改银行站点的 DOM、CSSOM 等信息;在银行站点内部插入 JavaScript 脚本;劫持用户登录的用户名和密码;读取银行站点的 Cookie、IndexDB 等数据;甚至还可以将
服务器的同源策略与跨域问题 原理解析
qq_40299140的博客
09-06 915
1.服务器的同源策略是什么? 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 同源指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。 2.跨域是什么? 跨域是指在浏览器上进行非同源请求的行为。 3.原理解析 那么浏览器为什么会存在同源策略呢? 你想啊,在不考虑后台权限的前提下,如果没...
同源策略、跨域方式
cici_bigchild的博客
11-12 91
同源策略同源策略是一种约定,是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能都可能受到影响。所谓的同源,就是域名、端口号、协议相同。同源策略可以说是浏览器的一个行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发送请求的数据接收,即使客户端请求发送了,服务器响应了,也无法被浏览器接受。 跨域方式: 1、JSONP JSONP可以动...
AJAX - 同源策略&跨域
vip77778888的博客
01-12 204
同源策略 什么是同源策略 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互 同源指的是两个 URL 的协议,主机名,端口号完全一致,反之,则是跨域。 浏览器对跨域请求的拦截过程 浏览器允许发起跨域请求。但跨域请求回来的数据,会被浏览器拦截,无法被页面获取到 跨域限制 突破浏览器跨域限制的三种方案 1....
什么是同源策略
weixin_30730151的博客
06-26 141
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 浏览器是从两个方面去做这个同源策略的,一是针对接口的请求,二是针对Do...
浏览器的同源策略 同源的定义
MAIMIHO的博客
06-01 899
如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。 示例: URL: http://store.company.com/dir/page.html URL 结果 原因 http://store.company.com/dir2/other.html 同源 只有路径不同 http://store.company.com/dir/inner/another.html 同源 只有路径不同 https://store.co
同源策略和跨域解决方法
jyn15159的博客
10-19 508
同源策略和跨域 同源(同源地址) 同源地址指的是两个页面地址的 协议 域名 端口 完全一样,这两个地址就是同源的,或者称为同源地址。 我们发现,在现代网站中(京东)一个公司可能具有很多的域名,也都不是同源地址,如果在公司内部都不能进行数据请求,是很不方便的。 URL网址的基本概念 URL概念:统一资源定位符 (Uniform Resource Locator) 俗称网址,用来标识某个资源在网络中的唯一位置。 组成部分: 示例网址:https://detail.tmall.com/it
iframe 同源策略
最新发布
12-28
同源策略是一种浏览器安全机制,用于限制一个源(域名、协议和端口)的文档或脚本如何与另一个源的资源进行交互。同源策略的目的是防止恶意网站通过脚本访问用户的敏感信息或执行恶意操作。 在同源策略下,一个源的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值