Web安全 瀏覽器基礎 同源策略

2021-09-30 01:31:53 字數 875 閱讀 2002

1.1 含義

2023年,同源政策由 netscape 公司引入瀏覽器。目前,所有瀏覽器都實行這個政策。最初,它的含義是指,a網cookie,b網頁不能開啟,除非這兩個網頁"同源"。所謂"同源"指的是"三個相同"。

三個相同:「協議相同」,「網域名稱相同」,「埠相同」

舉例來說,http:這個**,協議是http://,網域名稱是埠是80.它的同源情況如下。

同源不同源(網域名稱不同)

不同源(網域名稱不同)

不同源(埠不同)

1.2 目的

同源政策的目的,是為了保證使用者資訊的安全,防止惡意的**竊取資料。設想這樣一種情況:a**是一家銀行,往往用來儲存使用者的登入狀態,如果使用者沒有退出登入,其他**就可以冒充使用者,為所欲為。因為瀏覽器同時還 cookie 可以共享,網際網路就毫無安全可言了。

cookie 是伺服器寫入瀏覽器的一小段資訊,只有同源的網頁才能共享。但是,兩個網頁一級網域名稱相同,只是二級域cookie。舉例來說,a網頁是網頁是http://

w2.example.comb.html,那麼只要設定相同的document.domain,兩個網頁就可以共享cookie。

如果兩個網頁不同源,就無法拿到對方的dom。典型的例子是iframe視窗和window.open方法開啟的視窗,它們

如果兩個視窗一級網域名稱相同,只是二級網域名稱不同,那麼設定上一節介紹的document.domain屬性,就可以規避同

1、片段識別符

2、window.name

3、跨文件通訊api

同源政策規定,ajax請求只能發給同源的**,否則就報錯。除了架設伺服器**(瀏覽器請求同源伺服器,再由

1、jsonp

2、websocket

3、cors

瀏覽器的同源策略

什麼是同源策略?我們為什麼需要同源策略?我們先假設如果瀏覽器沒有同源策略的情況,我們登陸了a銀行的賬號,如果這時我們開啟了另乙個網頁 在另乙個標籤上 並且這個網頁含有黑客設定的惡意js 在沒有同源策略的情況下,黑客可以隨意的讀取你在a銀行上的任何資訊,做任何操作,我們個人隱私完全無法得到保障,所以同...

禁用瀏覽器同源策略的方法

前端和後台聯調的時候總會涉及到跨域,平時我們跨域主要的方法是通過cors進行跨域,但是通過cors進行跨域有的時候會涉及到資料安全的問題,這時候我們可以通過禁用本地瀏覽器的同源策略來進行跨域的聯調。ie的禁用同源策略設定,進入ie的internet選項設定,然後選擇安全性,再選擇自定義等級,然後下拉...

瀏覽器同源策略和跨域請求

如果沒有同源策略,當你開啟銀行 同時又開啟了另外乙個惡意 這時,惡意 就有能力修改你這個 的dom,使你後續傳送的請求都傳送到惡意 的伺服器上,然後惡意 就能獲取到你的cookie等資訊,將會對個人的隱私財產構成巨大的威脅。如果嚴格的遵循同源策略,也會面臨很多的問題。比如,css,js等都得從同網域...