什么是浏览器同源策略(Same-Origin Policy)?

于 2024-08-06 15:28:44 发布
阅读量377 收藏 19
点赞数 7
分类专栏: WEB前端最新面试题 - 又全又卷 文章标签: okhttp javascript 前端 jsonp 浏览器 同源策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyu_qie/article/details/140957012
版权

浏览器同源策略(Same-Origin Policy, SOP)是一种用于限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互的安全机制。这一策略的核心目标是防止跨站脚本攻击(Cross-Site Scripting, XSS)和其他跨站请求伪造(Cross-Site Request Forgery, CSRF)攻击。

 

目录

1 什么是“同源”?

2 同源策略的应用 

3 浏览器同源策略的示例

4 绕过同源策略的方法

4.1 JSONP(JSON with Padding)

4.2 CORS(Cross-Origin Resource Sharing) 

5 最后

1 什么是“同源”?

在同源策略中,“源”由以下三部分组成:

  1. 协议:如 httphttps
  2. 域名:如 example.com
  3. 端口:如 80(http 默认端口)或 443(https 默认端口)。

如果两个 URL 的协议、域名和端口都相同,则它们被认为是同源的。例如:

  • http://example.com/page1http://example.com/page2 是同源的。
  • http://example.comhttps://example.com 不是同源的(不同的协议)。
  • http://example.comhttp://example.net 不是同源的(不同的域名)。
  • http://example.com:80http://example.com:8080 不是同源的(不同的端口)。

2 同源策略的应用 

同源策略在浏览器中主要应用于以下几种场景:

  1. DOM:阻止不同源的文档相互访问彼此的 DOM。
  2. Cookie:仅允许同源的脚本访问相应源的 Cookie。
  3. AJAX 请求:阻止一个源的脚本发送跨源的 AJAX 请求。

3 浏览器同源策略的示例

为了更好地理解同源策略,我们通过一个简单的例子来展示其工作原理。

假设有两个不同的网页:

  • http://example.com/main.html
  • http://example.org/other.html

http://example.com/main.html 中尝试访问 http://example.org/other.html 的 DOM 元素。

我们新增一个main.html:

<!DOCTYPE html>
<html>
<head>
    <title>Main Page</title>
</head>
<body>
    <h1>This is the main page</h1>
    <iframe src="http://example.org/other.html" id="iframe" style="display:none;"></iframe>
    <script>
        document.getElementById('iframe').onload = function() {
            try {
                var iframeDoc = document.getElementById('iframe').contentDocument;
                var iframeContent = iframeDoc.body.innerHTML;
                console.log(iframeContent);
            } catch (e) {
                console.error('Cross-origin access error: ', e);
            }
        };
    </script>
</body>
</html>

在此示例中,main.html 尝试通过 <iframe> 元素加载 other.html 并访问其 DOM。由于这两个页面属于不同的源,浏览器将会阻止此操作,并抛出一个跨源访问错误。

4 绕过同源策略的方法

尽管同源策略是一个强大的安全机制,但在实际开发中,有时需要跨源访问资源。为此,出现了一些绕过同源策略的方法,如:

4.1 JSONP(JSON with Padding)

JSONP 是一种通过动态 <script> 标签来进行跨域请求的技术。

<!DOCTYPE html>
<html>
<head>
    <title>JSONP Example</title>
</head>
<body>
    <script>
        function handleResponse(data) {
            console.log('JSONP response: ', data);
        }

        var script = document.createElement('script');
        script.src = 'http://example.org/data?callback=handleResponse';
        document.body.appendChild(script);
    </script>
</body>
</html>

在此示例中,script 标签的 src 属性指向了跨域的资源,callback 参数指定了回调函数的名称。当请求成功时,返回的数据将会被传递给回调函数。

当然,如果你正在使用Vue或者React项目进行项目开发,推荐你读一读这篇博客,这是一个高效快捷使用JSONP的方法封装:前端JS必用工具【js-tool-big-box】,验证是否是Unicode字符,获取一个字符串的字节长度,以及新增发送JSONP跨域请求的方法-CSDN博客

4.2 CORS(Cross-Origin Resource Sharing) 

CORS 是一种通过服务器设置 HTTP 头来允许跨域访问的方法。

服务器设置(Node.js 示例):

const express = require('express');
const app = express();

app.use((req, res, next) => {
    res.header('Access-Control-Allow-Origin', '*');
    res.header('Access-Control-Allow-Methods', 'GET,POST,PUT,DELETE,OPTIONS');
    res.header('Access-Control-Allow-Headers', 'Content-Type');
    next();
});

app.get('/data', (req, res) => {
    res.json({ message: 'This is a CORS-enabled response' });
});

app.listen(3000, () => {
    console.log('Server is running on port 3000');
});

在此示例中,服务器通过设置 Access-Control-Allow-Origin 头来允许跨域访问。

5 最后

浏览器同源策略是 Web 安全的重要基石,尽管有时候它可能会限制开发者的操作,但其存在的主要目的是为了保护用户免受潜在的安全威胁。通过理解同源策略的工作原理和使用 JSONP 或 CORS 等技术,我们可以在保证安全的前提下实现跨域资源访问。

 

经海路大白狗
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 7838
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
什么是浏览器同源策略(Same-Origin Policy),以及如何通过CORS(跨源资源共享)解决跨域访问的问题
祈澈菇凉
04-09 296
如果服务器设置了合适的CORS头部,浏览器在收到响应时会检查该头部的值,如果当前页面的域名在允许的访问列表中,就会允许跨域访问。同源策略的目的是保护用户的隐私和安全,防止恶意网站获取或篡改其他网站的数据。CORS是一种机制,允许服务器在响应中设置一些特殊的HTTP头部,以授权其他域名下的页面访问自己的资源。需要注意的是,CORS是在浏览器端实施的安全机制,服务器需要进行相应的配置以支持CORS。同源策略规定,当一个页面加载了来自特定源的资源后,该页面只能与同源的资源进行交互,而无法直接访问其他源的资源。
同源策略(Same-origin policy)是什么?
Learn-anything.cn
11-24 726
一、同源策略是什么? 一个 URL 有三部分组成:协议、域名(指向主机)、端口,只有这三个完全相同的 URL 才能称之为同源。如下,能和 http://www.example.com/dir/index.html 同源的是? URL 结果 原因 http://www.example.com/dir2/other.html 同源 只有路径不同 https://www.example.com/secure.html 不同源 协议不同 http://www.example.com:8
同源政策(same-origin policy
TKOP_的博客
04-20 1729
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
How to disable same-origin policy of Chrome?如何禁止chrome同源策略
lbyshu2014的博客
09-12 856
Due to the so called same-origin policy, browsers deny AJAX requests to service endpoints in case the domain/subdomain, protocol, or port differ from the app’s domain/subdomain, protocol, or port. Th...
Web浏览器同源策略(same-origin policy
官方推荐
11-17 617
Web浏览器同源策略(same-origin policy
什么是浏览器同源策略(same-origin policy)?它对AJAX有什么影响?
热门推荐
官方推荐
09-21 2万+
什么是浏览器同源策略(same-origin policy)?它对AJAX有什么影响?
什么是同源策略(Same-Origin Policy)?它对 AJAX 有什么影响?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-30 559
引言同源策略基本概念定义作用基本规则对 AJAX 的影响为什么 AJAX 受限于同源策略AJAX 请求失败的示例解决方案示例一:JSONP(JSON with Padding)示例二:CORS(Cross-Origin Resource Sharing)示例三:设置 CORS 响应头示例四:使用 Fetch API示例五:使用代理服务器实际工作中的使用技巧技巧一:正确设置 Access-Control-Allow-Origin技巧二:处理预检请求技巧三:使用代理服务器。
前端基础技术_浏览器同源政策(same-origin policy)及其规避方法
技术改变世界
09-25 953
原文地址:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个.
第八节 浏览器同源策略介绍-01
09-15
同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面恶意代码访问其他页面。 源的含义 在计算机中,源(Origin)是指信息的来源位置。根据RFC6454文档规定,源是由协议、...
Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
**同源策略(Same-Origin Policy)**是Web浏览器中一项重要的安全机制,它限制了不同源的网页之间共享数据的能力,防止恶意网站通过脚本访问并操控其他网站的敏感信息。Collabtive系统是一个开源的项目管理工具,而...
谷歌跨域插件Access-Control-Allow-Origin
02-15
跨域是由于浏览器同源策略(Same-origin policy)引起的,它限制了来自不同源的JavaScript脚本对网页资源的访问,以保护用户数据的安全。Access-Control-Allow-Origin是HTTP响应头的一部分,用于指定允许哪些源的...
JSON to JSONP- Bypass Same-Origin Policy
10-15
在Web开发中,浏览器同源策略(Same-Origin Policy)是一项重要的安全机制,它限制了来自不同源的“脚本”之间交互。这意味着,一个网页只能访问和操作与自身同源(协议、域名、端口都相同)的资源,对于不同源的...
Allow-Control-Allow-Origin chrome
12-27
在Web开发中,跨域(Cross-Origin)是由于同源策略(Same-origin policy)限制,导致一个源(Origin,包括协议、域名和端口)下的文档或脚本不能直接访问另一个源下的资源。这个问题在React-Native这样的混合移动...
树状菜单分析
最新发布
weixin_72636650的博客
08-04 159
将添加好的数组作为下面创建函数的实参的值,用于渲染页面,然后for循环遍历数组里面所有的数据,判断里面是否有子集,若有就递归渲染子节点并且字符串拼接箭头,若没有则渲染当前节点。然后在获取假数据里面判断的时候添加一个函数,for循环遍历里面所有的数据,然后判断pid等于0的数据,然后添加到新创建的空数组里面。添加点击事件,判断点击父节点的时候将子节点显示出来,将箭头旋转180度,并且给箭头添加过渡时间。首先先用ajax获取假数据。
牛客JS题(二十一)数组扁平化
不起眼小菜菜的博客
08-04 740
注释很详细,直接上代码……
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 640
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
【Vue3】自定义组件
又言又语
07-30 478
本文介绍 Vue3 中如何自定义组件。页面组件:用于构建独立页面,通常存放在src/pages或src/views目录下。功能组件:将页面中一些独立的功能封装成独立组件,譬如:分页组件、日期时间组件等。功能组件通常存放在目录下。本文主要说明如何自定义功能组件。
Access-Control-Allow-Origin如何作用于同源策略
07-20
Access-Control-Allow-Origin是一个HTTP头部字段,它用于浏览器实施同源策略(Same-Origin Policy)时,控制服务器向客户端发送数据的跨域访问规则。当浏览器发起AJAX请求或fetch API等跨源操作时,会先检查目标资源的响应头是否包含`Access-Control-Allow-Origin`字段,如果允许的源与当前请求的源相匹配(通常是请求头中的Origin字段),则浏览器才会处理这个响应。 例如,如果服务器设置`Access-Control-Allow-Origin: *`,意味着所有来源的请求都可以接收;如果是特定的域名,如`Access-Control-Allow-Origin: http://example.com`,那么只有从`http://example.com`发起的请求会被允许。如果没有这个头部或者设置为`null`或`none`,默认情况下浏览器会阻止跨域请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

经海路大白狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值