HTTP1.1(十三)浏览器为什么要有同源策略

已于 2023-05-21 17:08:00 修改
阅读量317 收藏 1
点赞数 1
分类专栏: HTTP 文章标签: CSRF 同源策略
于 2023-05-07 19:05:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/130541883
版权

一  同源策略

①  浏览器同源策略铺垫

1) 浏览器为了避免不同域名下,不同站点下脚本或资源相互访问'产生安全问题'所以浏览器有了同源策略

2) cookie含有用户的'隐私'信息,浏览器要'防止'不同的站点读取'对方'的cookie信息

3) 有了同源策略,又因为'可用性',又有了'跨域访问'的需求

②  为什么需要同源策略

1) 只有'地址栏'才是'用户主动'发起请求的

2) 其它的都是'浏览器渲染引擎'的行为

3) 会'导致'下面的'问题'

③  没有同源策略下的Cookie两种场景

④  浏览器的同源策略

⑤  跨域的可用性安全性

 nginx如何判断一个请求是不是Ajax异步请求  

⑥  CSRF跨站请求伪造攻击

⑦  如何防止CSRF攻击

HTTP杂谈之Referrer-Policy响应头

思考:怎么'防止'CSRF?  --> "三种策略"

1)通过Referer'简单'判断,不是我本站页面,我就'拒绝'

备注:但是如果浏览器'不是很规范',没有Referer浏览器就'没有办法'处理了

2) CSP响应头通过'限制'浏览器加载的资源,也可以一定程度上避免'CSRF'攻击

内容安全策略-CSP  跨域资源共享- CORS

方式3:x-csrf-token

1) 攻击者试图欺骗用户,使得用户'以为访问的是银行站点',实际访问的是攻击者的伪造木马站点

2) 做到即使用户'误操作',也'不会'有严重的后果

3) 有时效性的token,'用户是看不到的',再次请求的时候是会'自动携带'的,服务器会进行验证

4) 攻击者是没办法'伪造有时效性和唯一性'的token

csrf_token一些细节

⑧  答疑解惑

为什么CSRF Token写在COOKIE里面 

跨域主要针对的是'AJAX之类'的请求、JS等代码可以'读取HTTP响应'

⑨  题外话

需求:nginx判断'手机'还是'PC,展示不同的'页面':

$http_user_agent ~* "(Android|iPhone|Windows Phone|UC|Kindle)"

nginx如何判断一个请求是不是Ajax异步请求

招聘中的toB和toC业务

wzj_110
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打通Web安全思路:为什么我们需要同源策略
郊眠寺
11-03 607
要了解什么是同源策略,我们得先来看看什么是同源。如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。比如下面这两个 URL,它们具有相同的协议 HTTPS、相同的域名 time.geekbang.org,以及相同的端口 443,所以我们就说这两个 URL 是同源的。浏览器默认两个相同的源之间是可以相互访问资源和操作 DOM 的。两个不同的源之间若想要相互访问资源或者操作 DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略
BOSDGM#book#01-同源策略1
07-25
1. 同源1.1 源源(Origin), 指 协议, 域名和端口号1.2 同源策略同源策略浏览器为了保护客户端安全, 而进行限制的一种行为, 非同源情况下是无
为什么会有同源策略? 什么情况下会碰到跨域问题?有哪些解决方法?
weixin_44195250的博客
10-29 2912
1、同源策略是为了保护网站的安全,防止用户信息泄露,防止身份伪造等(读取Cookie) 2、ajax请求不到数据的时候 3、jsonp 声明一个回调函数,其函数名(如fn)当做参数值,要传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)。 创建一个<script>标签,把那个跨域的API数据接口地址,赋值给script的src,还要在这个地址中向服务器传递该...
浏览器同源策略是干什么的?底层原理是什么?
长风破浪会有时的博客
06-06 272
这些技术可以通过服务器端的设置或特定的数据格式来允许跨域请求的访问,但仍需遵守一定的安全规则。这样可以防止其他域名的网页获取用户的敏感信息。XMLHttpRequest和Fetch API的限制:通过XMLHttpRequest和Fetch API发送的跨域请求,会受到同源策略的限制。DOM访问限制:跨域请求无法直接访问其他源的DOM(Document Object Model),包括读取和修改其他源网页的DOM元素。换句话说,同源策略要求网页只能访问同一域名下的资源,而无法直接访问其他域名下的资源。
7.浏览器原理之浏览器同源策略
qq_42349528的博客
02-25 3543
目录1.什么是同源策略2.如何解决跨域问题3.正向代理和反向代理的区别4.NginX的概念及其工作原理 1.什么是同源策略 2.如何解决跨域问题 3.正向代理和反向代理的区别 4.NginX的概念及其工作原理 NginX是一款轻量级的Web服务器,也可以用于反向代理,负载均衡和HTTP缓存等。NginX使用异步事件驱动的方法来处理请求,是一款面向性能设计的HTTP服务器。 传统的Web服务器如Apache是process-based模型的,而Nginx是基于event-driven模型的。正是这个主要的区别
浏览器为什么要有同源策略
Sky的博客
02-10 105
什么是同源策略
Web安全开篇:浏览器为什么会有同源策略
Galaxy_0的博客
01-15 190
Web安全开篇:浏览器为什么会有同源策略
白帽子讲浏览器安全.钱文祥(带详细书签).pdf
03-08
1.1 漏洞的三要素 3 1.2 漏洞的生命周期 4 1.3 浏览器安全概述 5 1.4 浏览器安全的现状 7 1.5 浏览器的应对策略 9 1.6 “白帽子”与浏览器厂商的联手协作 9 1.7 全书概览 10 1.8 本章小结 12 2 浏览器中常见...
HTTP访问.e.rar
04-05
9. **跨域资源共享(CORS)**:为了防止恶意脚本访问,浏览器实施了同源策略。CORS是一种机制,允许服务器指定哪些来源的请求可以跨域访问其资源。 10. **WebSocket**:虽然HTTP主要用于请求-响应模式,但WebSocket...
面试中的HTTP协议
08-09
- 通过设置特定的HTTP头,允许浏览器跨源请求资源,解决同源策略带来的限制。 在Java开发中,了解HTTP协议可以帮助开发者更好地实现网络通信,如使用HttpURLConnection或HttpClient发送HTTP请求,处理服务器响应,...
HTTP CORS(HTTP-同源策略
SeriousLose
12-30 2589
同源策略 同源策略是一种约定,是浏览器的核心基本安全功能, 如果缺少同源策略,浏览器的正常功能会受到影响,web的所有功能是构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现. 现在所有的浏览器都支持同源策略. 在前端开发工作中,经常会遇到同源策略问题,就是向服务器发送请求的时候,不在同一级域名或者不在相同端口或相同协议下. 域名 每一个网站都有自己的服务器,每个服务器都有一个IP地址,每个IP地址都会制定一个域名,域名有一级域名,二级域名,三级域名 http://a(三级域名).goo
为什么要有跨域限制
u012329294的专栏
02-07 3462
作者:黄家兴 链接:https://www.zhihu.com/question/26376773/answer/244453931 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 了解完跨域之后,想必大家都会有这么一个思考,为什么要有跨域的限制,浏览器这么做是出于何种原因呢。其实仔细想一想就会明白,跨域限制主要是为了安全考虑。 AJAX
JavaScript 的同源策略
yuxiayiji的专栏
09-25 991
同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。 同源定义 如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: URL 结果 原因
什么是同源策略
qq_39465116的博客
07-20 6440
同源策略限制的内容有。
浏览器同源政策及其规避方法
aoquandao8917的博客
04-12 800
作者:阮一峰 摘自:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 ...
浏览器同源策略及跨域的解决方法
weixin_41778594的博客
09-21 461
什么是浏览器同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它的核心就在于它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来...
浏览器同源策略、跨域访问原因、解决原理及解决方式
AXIMI的博客
07-14 537
浏览器同源策略 跨域访问的需求是浏览器同源策略引起的。 两个url地址如果请求的域名、端口 和 请求方法(http, https)都是一样,那这两个url地址同源。 如果发起请求的域与这个请求指向的资源所在的域不同源,就会造成跨域访问失败。 同源策略的功能 同源策略可以避免跨站请求伪造的问题(csrf, cross-site request forgery). 实现跨域访问原理 可以使用cors(Cross-Origin Resource Sharing,跨资源共享)来实现跨域访问。 cors标准会新
浏览器同源策略
weixin_47450807的博客
01-25 4158
一、什么是浏览器同源策略 浏览器同源策略是指:js脚本在未经允许的情况下,不能够访问其他域下的内容。 二、同源 同源:协议,域名,端口都相同的则是同源,其中一个不同则都不属于同源。 三、同源策略主要限制 同源策略主要限制三个方面: 1、一个域下的js脚本不能访问另一个域下面的cookie,localStorage和indexDB 2、一个域下的js脚本不能够操作另一个域下的DOM. 3、ajax不能做跨域请求。 四、特殊 为什么script标签,img标签,以及link标签可以链接其他域中的资源?
HTTP请求的完全过程
热门推荐
ailunlee的博客
05-27 15万+
HTTP请求的完全过程 1.1 浏览器根据域名解析IP地址 浏览器根据访问的域名找到其IP地址。DNS查找过程如下: 浏览器缓存:首先搜索浏览器自身的DNS缓存(缓存的时间比较短,大概只有1分钟,且只能容纳1000条缓存),看自身的缓存中是否是有域名对应的条目,而且没有过期,如果有且没有过期则解析到此结束。 系统缓存:如果浏览器自身的缓存里面没有找到对应的条目,那么浏览器会...
同源策略是什么,为什么要有同源限制
最新发布
06-08
同源策略(Same-Origin Policy,简称 SOP)是一种应用于 Web 浏览器中的安全机制,它是一种约定,由 Netscape 公司最早提出,其基本思想是,一个网页的脚本只能访问与其来源相同的网页数据。同源限制是为了保护用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值