跨站攻击发生在浏览器客户端,而SQL注入攻击由于针对的对象是数据库,一般情况下发生在服务器端。HTML5提供了新的客户端存储机制:在浏览器端使用SQLite数据库保存客户端数据,该机制允许使用JS脚本操作SQL语句,与本地数据库进行交互。
同源策略:不同域的客户端脚本在没有明确授权的情况下不能读写对方的资源
不同域:协议不同:http/https
域名不同:www/scu
端口不同:8080/80
客户端脚本:JavaScript等
授权:服务端对客户端的授权
*AJAX:让数据在后台进行异步传输,如:对网页的局部数据进行更新时,不需要刷新整个网页,节省带宽资源
读写权限:如:HTTP请求头中的Referer只可读,而document.cookie则具备读写权限
资源:同源策略的资源指的是Web客户端的资源
信任普遍存在于:服务器与服务器、网站与网站、Web服务的不同子域、Web层面与浏览器第三方 插件、Web层面与浏览器的特殊API、浏览器特殊API与本地文件系统、嵌入的Flash与当前的DOM树、不同协议之间等