- DOM 同源策略: 禁止对不同源页面 DOM进行操作。这里主要场景是 iframe跨域的情况,不同域名的 iframe是限制互相访问的(比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码) XMLHttpRequest 同源策略: 禁止使用 XHR对象向不同源的服务器地址发起 HTTP请求(这一点里面其实包括了 ajax)。 Cookie、LocalStorage、IndexedDB 等存储性内容同源策略: js中无法访问不属于同个源的cookie、LocalStorage中存储的内容。 具体来说,cookie和LocalStorage在控制哪些源可以访问的问题上还是细微的差别,父域在设置cookie的时候可以设定允许子域访问这段cookie,同时Cookie只和域名以及路径关联,如果是同个域名不同端口的源依然是共享同个域名下的Cookie的,而LocalStorage则是以源为单位进行管理,相互独立,不同源之间无法相互访问LocalStorage中的内容。 但是同源策略留了一些“后门”: 页面中的链接,重定向以及表单提交是不会受到同源策略限制的(未授权情况下,ajax的表单提交是不被允许的,但是普通的表单是可以直接跨域的)。 script、img、link这些包含 src属性的标签可以加载跨域资源。但浏览器限制了JavaScript的权限使其不能读、写加载的内容。 同源策略限制的内容有: Cookie、LocalStorage、IndexedDB 等存储性内容 DOM和JS对象无法获得 AJAX请求发送后,结果被浏览器拦截了 但是有三个标签是允许 对应 cookie也同时发送过去。 银行页面从发送的 cookie中提取用户标识,验证用户无误,response中返回请求数据。此时数据就泄露了,而且由于 Ajax在后台执行,用户无法感知这一过程。 cookie 是浏览器根据你请求的页面进行发送的,而与从哪个页面发送过去请求无关。比如说,我访问了 a.com以后获取了 a.com的cookie ,然后我访问 q.com ,由于 cookie域的限制,浏览器在请求 q.com的时候不会携带 a.com的cookie ,但是当 q.com有一个向 a.com发起的请求的时候,浏览器就会自动的在这个请求中带上 a.com的 cookie。 跨域并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 你可能会疑问明明通过表单的方式可以发起跨域请求,为什么 Ajax就不会? 因为归根结底,跨域是为了阻止用户读取到另一个域名下的内容,Ajax可以获取响应,浏览器认为这不安全,所以拦截了响应。但是表单并不会获取新的内容,所以可以发起跨域请求。同时也说明了跨域并不能完全阻止 CSRF,因为请求毕竟是发出去了。 小结: 同源策略控制不同源之间的交互,这些交互通常分为三类:(1)跨域读: 同源策略是不允许这种事情发生的,如果可以你就能使用 js读取嵌入在 iframe中的页面的 dom元素,获取敏感信息了(2)跨域写: 同源策略不阻止这种操作,比如向不同源的地址发送 POST请求等,但是这种允许只限制在普通表单(而且是在没有 CSRF ...(3)跨域嵌入: 这种方式是默认允许的,我们可以在一个源中通过 iframe嵌入另一个源的页面,但是如果想限制这种操作的话,我们可以...查看更多精选
什么是同源策略?-CSDN博客
1条评论  41个收藏  发表时间:2024年3月18日
文章浏览阅读8.7k次,点赞10次,收藏42次。概述:先来看看域名地址组成:什么是同源策略及其限制内容?同源策略是一种约定,它是浏览器最核心也最基...blog.csdn.net/weixin_70437515/ar...
-
安装无追扩展,400+网站随意切换
添加扩展到浏览器添加后不再显示 什么是同源策略? - 知乎
-
同源策略是什么- 360文库查看更多优质文档 >共5页
js的同源策略js同源策略详解本文较为具体的分析了js同源策略。共享给大家供大家参考。详细如下:概念:同源策略是客户端脚本尤其是Javascipt的重要的安全度量标准。其目的是防止某个文档或脚本从多个不同源装载。这里的同源指的是:同协议,同
共24页汇报人:2024-01-09同源策略原理分析方法目 录同源策略概述同源策略原理同源策略的应用场景同源策略的挑战与解决方案同源策略的未来发展01同源策略概述同源策略定义同源策略是指一种基于相同或相似来源
wenku.so.com
请简述什么是“同源策略”。_360问答
1个回答 - 提问时间:2022年05月14日
最佳答案: 在网站开发中","有时需要将其他网站的内容异步的载入到自己的网站中","但是浏览器出于安全方面的考虑","禁止页面中的JavaScript访问其他服务器上... 详情>>wenda.so.com/q/1662425288210854?src...
什么是同源策略- 简书
前端必备HTTP技能之同源策略详解- 简书
请解释一下什么叫同源策略,以及为什么浏览器会有同源策略_360问答
1个回答 - 回答时间:2017年9月8日
最佳答案:同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一...
wenda.so.com/q/1534210649219117
同源策略是什么
相关搜索