同源策略Same origin policy

2021-09-08 12:33:32 字數 510 閱讀 7033

同源策略same-origin policy

同源策略same-origin policy是web應用的一種安全基礎策略。它規定同一源中,頁面包含的指令碼可以訪問該源下的其他頁面的資料。只有當**中的協議名、主機名和埠都相同,才認為是同一源。例如,對於和這兩個**協議名不同,所以認為不是同源。在實際應用中,該策略通過cookie來判定使用者的身份。

基於該策略,使用者以身份a訪問頁面page1時,page1頁面中包含的指令碼js1會同一身份請求同源的頁面pageb,pageb會認可身份a。如果使用者訪問非同源的網頁pagec,即使它包含相同指令碼js1(**完全相同),也不能以身份a去訪問pageb。這樣就可以避免敏感資訊的洩漏。

同源策略same-origin policy雖然一定程度上解決了web安全問題,但也引入了新的安全問題。只要是同源,就被認為是安全的,哪怕同源網頁被引入其他非同源的指令碼。這就導致了跨站指令碼xss攻擊。所以說,同源策略same-origin policy是xss攻擊的基礎。這也是xss攻擊時候,為什麼要在同源的網頁中尋找注入點的原因。

CORS同源策略

所謂同源策略,所謂同源是指,網域名稱,協議,埠相同。它是瀏覽器的一種最核心最基本的安全策略。它對來至不同源的文件或這指令碼對當前文件的讀寫操作做了限制。為什麼要有這個策略,想必你已經知道,那就是因為保證使用者的資訊保安。訪問同源的資源是被瀏覽器允許的,但是如果訪問不同源的資源,瀏覽器預設是不允許的。...

同源策略Jsonp

同源策略 same origin policy 是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響。可以說web是構建在同源策略基礎之上的,瀏覽器只是針對同源策略的一種實現。何為同源 協議,網域名稱,埠都相同 如果非同源,那麼在請求資料時,瀏覽器會...

跨域 同源策略

為了保護智財權,不然你做的介面別人 都隨便用了 是瀏覽器拒絕的 一般有三種方法,哪三種方法呢?是下面三種方法 function handledata data 把callback handledata發給伺服器,伺服器拿到handledataconst http callback就是 後面的fn,因...