关于同源策略和跨域访问的理解

最新推荐文章于 2022-07-05 18:17:16 发布
最新推荐文章于 2022-07-05 18:17:16 发布
阅读量834 收藏 1
点赞数 1
分类专栏: 前端技术 网络安全 文章标签: 安全 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbinu/article/details/75103456
版权

同源策略
理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。
何谓同源:
URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。
同源策略:
浏览器的同源策略,限制了来自不同源的”document”或脚本,对当前”document”读取或设置某些属性。 (白帽子讲web安全[1])
从一个域上加载的脚本不允许访问另外一个域的文档属性。

举个例子:
    比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。

在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以加载跨域资源,而不受同源限制,但浏览器限制了JavaScript的权限使其不能读、写加载的内容。
另外同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等仍然认为属于同源。

代码示例(http://localhost:8080/和http://localhost:8081由于端口不同而不同源):

http://localhost:8080/test.html  
        <html>  
            <head><title>test same origin policy</title></head>  
            <body>  
                <iframe id="test" src="http://localhost:8081/test2.html"></iframe>  
                <script type="text/javascript">  
                    document.getElementById("test").contentDocument.body.innerHTML = "write somthing";  
                </script>  
            </body>  
        </html>  

http://localhost:8081/test2.html  
        <html>  
            <head><title>test same origin policy</title></head>  
            <body>  
                Testing.  
            </body>  
        </html>  
在Firefox中会得到如下错误:
    Error: Permission denied to access property 'body'

Document对象的domain属性存放着装载文档的服务器的主机名,可以设置它。
例如来自"blog.csdn.net"和来自"bbs.csdn.net"的页面,都将document.domain设置为"csdn.net",则来自两个子域名的脚本即可相互访问。

JSONP
JSONP技术实际和Ajax没有关系。我们知道

<script src="http://localhost:8081/test_data.js">  
    <script>  
        function test_handler(data) {  
            console.log(data);  
        }  
</script>  
服务器端的Javascript脚本(http://localhost:8081/test_data.js):

 test_handler('{"data": "something"}');
为了动态实现JSONP请求,可以使用Javascript动态插入<script>标签:

<script type="text/javascript">  
        // this shows dynamic script insertion  
        var script = document.createElement('script');  
        script.setAttribute('src', url);  
        // load the script  
        document.getElementsByTagName('head')[0].appendChild(script);   
</script>  
JSONP协议封装了上述步骤,jQuery中统一是现在AJAX中(其中data type为JSONP):
http://localhost:8080/test?callback=test_handler

为了支持JSONP协议,服务器端必须提供特别的支持[2],另外JSONP只支持GET请求。

参考博客
同源策略和跨域访问

zhangbinu
关注
专栏目录
Ajax 同源策略跨域JSONP
yexiangCSDN的专栏
05-13 139
一、同源策略跨域JSONP 1.什么是同源 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源 例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测:(端口号不写默认是80) 2. 什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制 通..
七、同源策略跨域,解决同源限制,JSONP,防抖和节流
快乐de馒头
01-09 517
(一)同源策略 1.同源 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源。 例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测: 2.同源策略 同源策略(英文全称Same origin policy)是浏览器提供的一个安全功能。所谓同源是指域名,协议,端口完全相同,只要有一个不相同则不同源,不同源跨域 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜.
理解同源(Same-Origin Policy)和跨域(CORS)
python_neophyte的博客
09-02 2066
写在前面 本文作为我这几天阅读相关文章的一个小结。 什么是浏览器同源策略同源策略浏览器的一种为了保护用户信息安全而制订的安全策略。 为什么要有同源保护? 既然是一种安全策略,那肯定是没有它的时候,会有安全问题,也就是说,没有它 = 不安全,有它 = 有了基本的安全保障,下面为了解释没有同源保护存在时可能出现的安全问题,先解释cookie。 什么是cookie? 学习web开发的朋友,或者cs从业人员肯定都知道cookie这个东西的存在。简单来说,它是用户的一个会员卡,就好像在现实生活中,去超市(超市
同源策略跨域解决方案
weixin_30348519的博客
08-22 268
同源策略跨域解决方案 同源策略 一个源的定义 如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。 举个例子: 下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: URL结果原因 http://a.xyz.com/dir2/other.html 成功 ht...
理解跨域同源策略
m0_45899013的博客
06-24 539
浏览器报错 No ”Access-Control-Allow-Origin“时,就是碰到了跨域问题了! 一、跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域则指:协议,域名,端口不一致,出于安全考虑,跨域的资源之间是无法交互的(例如一般情况跨域的JavaScript无法交互,当然有很多解决跨域的方案) 二、同源的定义 如果两个 URL 的 protocol、port
深入理解同源策略
文摘资讯
11-05 1230
:点上面关注免费学习前端知识! 同源策略是对JavaScript代码能够操作哪些Web内容的一条完整的安全限制。当Web页面使用多个<iframe>元素或者打开其他浏览器窗口的时候,这一策略通常就会发挥作用。在这种情况下,同源策略负责管理窗口或窗体中的JavaScript代码以及和其他窗口或帧的交互。具体来说,脚本只能读取和所属文档来源相同的窗口和文档的属性 文档的来源
你所理解同源跨域
qq_42514643的博客
07-19 278
Ajax:属于同源策略 JSONP:属于跨域策略(但是解决跨域的方案不止JSONP,还有更多的方案,JSONP只是最常用的一种) 同源 协议 域名 端口号 完全一致才属于同源,否则就是跨域 JSONP原理 在script的世界中,没有同源跨域这一说,只要你给我SRC属性中的地址是一个合法地址,SCRIPT都可以把对应的内容请求回来; JSONP就是利用了SCRIPT这个原理 1)...
前端请求跨域理解
weixin_30443895的博客
11-01 141
前端跨域请求发生条件:协议,主机,端口,当有一个条件满足时就会发生跨域问题。 情况1:当我们将网页以本地文件的形式打开的时候,地址栏 files:f:/…… 原因:默认是以文件协议打开的,当然不允许调用本地文件,即使也是同源,因为文件协议中不存在调用别的文件这一说法。 情况2:我们通过http协议访问的方式打开网页,因为是本地文件,两者同源,所以能直接请求到本...
深圳Web前端学习:跨域
11-25 170
深圳Web前端学习:跨域 在web有一种现象:不同的域名之间相互分享资源(信息)并进行通信。 这种现象叫做:跨域。 表面上看起来多个站点之间的来往增加是非常好的,但是其中弊端却是更大的。因为你不知道其他站点会拿你分享给他的信息做什么事情。所以出于安全性的考虑,在web中跨域这种现象默认是不允许的。 如果在两个或多个站点提前说好,我可以把我们站点客户端的数据分享给你,这样就会被浏览器默认阻止,因为他...
适合初学者理解的"同源策略"
青蛙背蝎子过河的博客
06-15 734
相信很多朋友在学习ajax的时候,对"同源策略"都比较模糊.下面我用最简单的例子说明什么是"同源策略".所谓同源,就是指协议相同,域名相同,端口号相同.这三者缺一不可.否则即为不同源.也就是我们所说的"跨域了";比如下面这个网站:http://www.qingwaxiezi.com/qingwa/xiezi.html;http://  就是  协议;       www.qingwaxiezi.c...
跨域同源?一次搞懂什么是跨域
leoyongyuan的博客
07-01 1224
其实在我们用ajax传输数据时,很多时候都是在做跨域请求,如果没租过服务器的小伙伴可能没去捣鼓过这东西是什么。跨域其实在我们前后端数据交互非常常见,但是现在的模块化时代,一般我们不怎么会接触到跨域问题,因为很多事API已经帮我们解决了。接下来我就给大家好好捋清跨域是怎么回事。在先介绍跨域之前我觉得必须先普及同源策略的概念。 什么是同源? 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源。 例如,下表给出了相对于http://www.test com/index.html页面的同源检测: 为了防
同源跨域的知识点
北寻北爱
03-01 834
同源 1.同源的概念 同源(也叫同源策略),是浏览器中的一种安全机制 2.同源的规则 同源指‘三个相同’,协议相同,域名相同,端口号相同(简单来说,就是同一个网站) 3.同源的目的 是为了保护用户信息的安全,防止恶意网站窃取信息 4.同源策略的限制范围(也就是不同源的情况) ( 1 ) cookie,localStorage,IndexDB无法读取 (2)DOM无法获取 (3) ajax请求不能发...
跨域-------------同源策略
江木
06-01 299
在前端开发中,经常遇到"跨域"的问题,以下的文章将探讨一下为什么会有"跨域"问题的出现,和所谓的"同源策略"同源策略1995 年由 Netscape 公司提出,之后被其他浏览器厂商采纳。同源策略只是一个规范,并没有指定其具体的使用范围和实现方式,各个浏览器厂商都针对同源策略做了自己的实现。一些 web 技术都默认采取了同源策略,这些技术范围包括但不限于Silverlight, Adobe Flas...
关于跨域访问
登登的博客 是温馨的小屋。
07-05 5833
1. 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器同源策略造成的,是浏览器施加的安全限制。最简单的说就是从当前域名的网站下不能请求非同源的地址所谓同源是指,域名,协议,端口.........
跨域访问同源策略
书呆子ITme
03-01 301
因为在同一个浏览器窗口中能够同时打开多个网站的页面,而且它们都处于同一个会话中,如果不禁止跨域访问则会造成用户隐私数据泄露和登录身份冒用的问题,所以浏览器会使用同源策略限制跨域访问。 在浏览器中,通过JS代码访问不同域名下的URL或者iframe时,会被禁止访问。而不是通过JS代码进行的跨域访问不存在跨域问题!比如跨域加载图片,引用JS文件,下载各种文件,使用iframe跨域嵌入其他网站的页面都...
同源策略跨域方法
double2的博客
01-05 2033
同源策略 documentdomain windowname locationhash HTML5的postMessage方法 JSONP CORS 简单请求 非简单请求 参考文章同源策略 同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 同源指的是:同协议,同域名和同端口。
跨域的简单理解
smallerha的博客
06-06 351
跨域浏览器的一个特性,就是浏览器从一个“域”向另一个“域”的服务器发出请求,来访问另一个“域”上的资源。但是,由于这样请求的文件可能会被恶意攻击,所以浏览器就不允许直接访问另一个“域”上的资源了,只能访问同一个“域”上的资源,这个就是“同源策略”。而同源策略指的是“协议、域名、端口号”一致。同源策略限制以下几种行为: 1.Cookie、LocalStorage和indexDB无法读取 2.DOM节点无法读取和设置 3.AJAX请求不能发送 同源策略主要是来防止CSRF攻击(CSRF攻击是指利用用户的登陆状
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值