同源策略

最新推荐文章于 2022-12-18 22:25:43 发布
最新推荐文章于 2022-12-18 22:25:43 发布
阅读量522 收藏 2
点赞数
分类专栏: 软件工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanblog/article/details/11844027
版权

所谓的同源就是要求这个URL的协议,主机,端口三部分都相同。一般我们说的域或者domain也是这里的源的概念。

存在一种异常情况,javascript可以通过设置document.domain来修改主机和端口部分的值,如果这样做,设置后的值就会作为同源策略检查的标准。比如对于http://blog.csdn.net/yanical和http://bbs.csdn.net/可以执行下面的javascript:

 [javascript]  document.domain = "csdn.net"; 
 

这样后,这两个页面就是同一个源了。出于安全的考虑,不能设置为其他主domain,比如http://www.csdn.net/不能设置为sina.com

我们看到,javascript中只有主机的部分被设置了,没有提到端口的部分。事实上,在执行上面的javascript的时候,端口也被设置了,且被设置成了null值。所以,对于http://blog.csdn.net:81/yanical和http://blog.csdn.net/yanical如果都执行上面的javascript,那么端口都被设为了null,他们也就变成同源了。

同源策略最早被用来阻止一个源的js去获取或者修改另外一个源的文档属性,这里的javascript的源指的是加载javascript的HTML页面的源,而不是javascript自己所在的源。

举个例子,有两个HTML和两个javascript。test.html包含一个iframe引用了frame.html,且他们在不同的源;test.html还引用了两个js,他们其中一个也和test.html的源不同;test.html的javascript还试图去修改frame.html。

test.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<iframe id="vFrame" name="vFrame" src="http://127.0.0.1/content/frame.html"></iframe> 
</body> 
<script language="javascript" src="http://127.0.0.1/content/otherdomain.js"></script> 
<script language="javascript" src="http://localhost/content/samedomain.js"></script> 
<script> 
document.write('------write from test.html'); 
alert(document.getElementById('vFrame').contentDocument.body.innerHTML='------overwrite frame from test.html'; 
</script> 
</html> 
 
frame.html:
 
[html]  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<html> 
<head> 
</head> 
<body> 
<script> 
document.write('------write from frame.html'); 
</script> 
</body> 
</html> 
otherdomain.js:
 
 
 
[javascript]  document.write('------write from otherdomain.js'); 
samedomain.js:
 
 
 
[javascript]  document.write('------write from samedomain.js'); 


我们访问http://localhost/test.html,执行结果如下:

\

可以看到,尽管test.html和otherdomain.js的源不同,但是因为otherdomain.js是test.html加载进来的,所以他们还是同一个源。但是test.html和frame.html就不是同一个源,浏览器阻止了修改请求。

现在同源策略还被用来判断一个XMLHTTPRequest(AJAX)是否合法,一个页面只能向同一个源的服务器发起AJAX请求。

需要注意的是,Cookie的同源策略和javascript略有不同,就是Cookie忽略了协议这一项,所以https://blog.csdn.net/yanical和http://blog.csdn.net/yanical的Cookie是共享的。同一个域名下的cookies共享


巧妍
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 8052
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
js同源策略详解
10-24
同源策略是JavaScript编程中非常重要的一个安全概念,其核心目的是限制一个域下的文档或脚本如何与另一个域下的资源进行交互,这是为了确保用户信息的安全,防止恶意网站访问用户信息而制定的一种策略。 同源策略的...
JavaScript的同源策略
03-27 514
同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。这个策略可以追溯到 Netscape Navigator 2.0。 如果两个页面的协议、端口(如果指明了的话)和主机名都相同,Mozilla 认为这两个页面拥有相同的源。 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: URL 结果
同源策略和解决跨域问题(服务端设置,三步骤)
你若盛开,清风自来
03-19 752
同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 为什么要有跨域限制? 因为存在浏览器同源策略,所以才会有跨域问题。那么浏览器是出于何种原因会有跨域的限制呢。其实不难想到,跨域限制主要的目的就是为了用户的上网安全。 CORS(跨域资源共享) CORS(Cros...
同源策略简介
qq_51515209的博客
11-28 1007
同源策略简介
web安全技术之同源策略
10-31
中国科学院大学研究生教材,网络空间安全学院名师讲授
深入浅析同源策略和跨域访问
11-22
同源策略是Web安全的核心机制之一,它规定了浏览器如何限制来自不同源的脚本访问当前页面的内容。这一策略旨在防止恶意网站通过嵌入、引用或其他方式操纵不同源的资源,尤其是涉及敏感信息的交互,如银行登录页面。...
Django使用中间件解决前后端同源策略问题
09-18
同源策略是浏览器的一种安全机制,它要求来自同一源的页面才能共享数据。在本案例中,前端使用Angular框架开发的图书管理系统需要从前端代码中向运行在不同源的Django后端请求数据。由于Django后端默认不发送适当的...
同源策略详细介绍文档
05-07
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...
JS实现的ajax和同源策略(实例讲解)
10-18
以下详细介绍ajax以及同源策略的知识点。 ### AJAX知识点 #### AJAX的基本概念和优点 AJAX利用JavaScript技术向服务器发送异步请求,其主要优点包括: 1. **异步性**:能够在不中断用户当前操作的情况下与服务器...
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
JavaScript同源策略和跨域访问实例详解
10-18
JavaScript同源策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
同源策略以及cookie安全策略
08-29
同源策略】是Web浏览器实施的一种安全策略,旨在防止恶意脚本从一个域名访问另一个域名的数据。简单来说,它规定同一源(协议、域名和端口)的JavaScript才能访问和修改网页内容,如HTML、CSS和Cookies。然而,...
WEB前端安全之同源策略.pdf
07-02
同源策略】是Web浏览器中的一个重要安全机制,它的全称是Same-Origin Policy。这个策略主要是为了保护用户信息不被恶意网站窃取,通过限制JavaScript只能访问与当前页面同源(即协议、域名和端口均相同)的网页...
同源策略的认识
张梦莹的博客
12-13 946
同源策略:一、概念 (1):是浏览器最核心也是最基本的安全功能,会约束浏览器的行为。 (2):会限制浏览器:只允许本域(domain)内的脚本读写本于内的资源,不允许访问本域外的资源。二 、为何需要同源策略 为了保证用户信息的安全,防止恶意网站窃取用户信息。三、如何判断是否同源 判断三要素:协议,域名,端口号。这三个必须全部一致才能视为同源,即属于
什么是同源策略?解决跨域的三种方法?
qq_52409560的博客
12-18 1780
比如JSONP就是一种独立的跨域处理方式,不需要服务器端配置CORS来支持,当然在一个项目里面两者可以混合起来使用:获取数据就用JSONP,提交数据就用CORS;(1)img 的 src 属性;同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果,其中一个条件没有满足,那么就是跨域了;(1)协议要相同:HTTP、HTTPS;(2)link 的 href 属性;(3)script 的 src 属性;三种处理跨域的方式,标签跨域特性进行数据跨域访问的,,要具体的域名,不要使用。
网络——同源策略
weixin_41265663的博客
09-20 471
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。(百度百科) 同源三要素: 协议,域名,端口;不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源; https://mp.csdn.net:443/ 协议      域名     端口 协议: https 超文本传输加密协议(默认端口号443)   http 超文本传输协议(默认端...
同源策略及跨域
这魏先森-forguo
03-12 5810
再谈同源策略及跨域
iframe 同源策略
最新发布
12-28
同源策略是一种浏览器安全机制,用于限制一个源(域名、协议和端口)的文档或脚本如何与另一个源的资源进行交互。同源策略的目的是防止恶意网站通过脚本访问用户的敏感信息或执行恶意操作。 在同源策略下,一个源的文档或脚本只能与同一源的资源进行交互,不能直接访问其他源的资源。这意味着,如果一个页面中包含一个来自不同源的iframe元素,那么该iframe中的文档或脚本将无法直接访问父页面的DOM,也无法通过常规的方式与父页面进行通信。 然而,同源策略并不是绝对的,有一些方法可以绕过同源策略实现跨域访问,其中包括以下几种常见的方法: 1. JSONP跨域:通过动态创建`<script>`标签,将跨域请求的数据作为回调函数的参数返回到页面中。 2. document.domain + iframe跨域:当两个页面的域名相同但是子域不同,可以通过设置`document.domain`属性来实现跨域访问。 3. location.hash + iframe跨域:通过改变iframe的URL的hash值来传递数据,从而实现跨域通信。 4. window.name + iframe跨域:通过在iframe的`window.name`属性中存储数据,实现跨域通信。 5. postMessage跨域:通过使用`window.postMessage()`方法在不同窗口之间传递消息,实现跨域通信。 6. 跨域资源共享(CORS):在服务器端设置响应头,允许指定的源进行跨域访问。 7. nginx代理跨域:通过配置nginx服务器代理请求,实现跨域访问。 8. nodejs中间件代理跨域:通过使用nodejs中间件代理请求,实现跨域访问。 9. WebSocket协议跨域:通过WebSocket协议进行跨域通信。 总结起来,同源策略是浏览器的一种安全机制,限制了不同源之间的交互。但是通过一些特定的方法,可以实现跨域访问和通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值