【信息安全】- web安全 - 同源策略和跨域通信

最新推荐文章于 2024-12-14 19:50:29 发布
最新推荐文章于 2024-12-14 19:50:29 发布
阅读量417 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # 信息安全 文章标签: 同源策略 跨域通信 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39328436/article/details/120381199
本文详细介绍了同源策略的概念及其在不同场景下的应用,包括DOM、XMLHttpRequest和WebStorage等,并探讨了六种跨域通信的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

同源策略属于web安全中的客户端安全,是针对浏览器的前端安全策略,一起来学习吧

目录

同源策略

什么是同源策略

同源策略的判定

同源策略的典型场景

1. DOM的同源策略

2. XMLHttpRequest的同源策略

3. Web Storage的同源策略

4. 脚本型URL的同源策略 

跨域通信

1. Server Proxy

2. document. domain

3. JSONP

4. window.name

5. CORS

6.  window.postMessage

 

 

同源策略

什么是同源策略

限制浏览器从同一个源加载的脚本或文档如何与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的重要安全机制

同源策略的判定

{protocol, host, port} 完全相同时,符合同源策略,同源页面之间可以相互访问 (有一个特殊的存在是ie浏览器,只需要protocol和host相同就会判定为满足同源策略)

同源策略判定举例

同源策略本身并不复杂,但是场景很多,再加之浏览器对安全的理解不一致,导致同源策略“乱象丛生”

同源策略的典型场景

1. DOM的同源策略

DOM:文档对象模型(Document Object Model,简称DOM),可以理解为前端页面中的各种标签,比如:<href> <body> <title>

  • <script>,<img>,<iframe>,<link>等带有src属性的标签,不受同源策略的约束,可以从不同的域加载和执行资源,且<script>引入的外部js文件的源为当前页面。(这一点也叫作同源策略的非绝对性)
<iframe>标签能够通过src引入其他域的资源,但是想要通过js去获取数据是被同源策略限制的

  • javascript不能随意跨域操作其他页面的DOM
  • JavaScript不能获取<script>,<img>,<iframe>,<link>跨域请求得到的内容,只能在浏览器解析后获取必要的,公共的信息
上方这些公共属性是js能够获取的

  •  <iframe>,父子页面交互受同源策略约束

2. XMLHttpRequest的同源策略

XMLHttpRequest是Ajax中的一个对象,在这一小节中讨论的XMLHttpRequest的同源策略可以理解为Ajax的同源策略

 XMLHttpRequest严格受同源策略约束,不能随意跨域请求(也就是在上图的例子中x.open中的url必须与当前为同源才行)。值得注意的是,“不能随意跨域请求”具体指的是,对于不同源的域Ajax是可以请求成功,但是浏览器会阻止脚本返回

3. Web Storage的同源策略

Web Storage是为了克服cookie的一些限制而存在的,当数据需要被严格控制在客户端上时,无须持续地将数据发回服务器,这时候便可以存储在web storage 中,他有两种实现方式:localstorage和sessionstorage 

  • localstorage:实现与站点源的持续连接,关闭浏览器后仍然有效
  • sessionstorage: 绑定当前的浏览器窗口,提供临时的缓存机制,浏览器会话结束之后清理

webstorage 的同源策略指的是,其中保存的信息只能在与当前站点同源的页面中读取

4. 脚本型URL的同源策略 

在url加入了js可以加载新页面

javascript:URL 只能跳转到同源界面(跳转到非同源页面是非常危险的行为,比如XSS攻击)

跨域通信

 在某些应用场景中,开发者需要访问不同源的页面,因此需要有一些跨域通信的方法,下面一共会介绍六种

  1. Server Proxy
  2. document. domain
  3. JSONP
  4. window.name
  5. CORS
  6. window.postMessage

其中后两种是HTML原生的方法

1. Server Proxy

同源策略的作用对象时浏览器,所以开发者可以利用服务器来实现跨域通信。

利用服务器实现跨域通信

客户端先将请求发送给本域服务器,本域服务器再请求域外服务器,最后依次返回给浏览器,实现跨域访问,缺点是会增加服务器的压力。

2. document. domain

通过在<script>标签中设置document.domain可以实现跨域通信

举例:在父页面father.demo.com中嵌入child.demo.com的iframe子页面

方法: 在两个页面中分别设置document.domain=“demo.com”,可以理解为两个页面有着共同的祖先,由此实现了跨域通信。

限制:使用这个方法时,父子页面的协议号和端口号仍然要相同。

3. JSONP

JSONP:JSON with Padding,在JavaScript返回数据中填充 JSON数据,即 “数据作为JS代码传递”

在上文中有提到<script>标签是不会受到同源策略新限制的,JSONP就是巧妙利用了这一点,将数据作为js代码传递。

4. window.name

window对象的name属性:

全局变量:在窗口(window)的生命周期内,窗口重定向后载入的页面共享window.name。

可读可写:每个页面对window.name可读可写。

持久存储:持久存在,不因新页面的载入而重置。

容量较大:M级别的存储空间。

 在A页面中设置window.name,刷新A页面跳转到B页面,B页面此时可以读到A存储的window.name值

5. CORS

  • 浏览器在发出AJAX请求时,在请求头里声明当前页面的源:Origin: http://server.net/app.htm
  • remote.net在响应头中,做如下“跨域授权声明”:header(“Access-Control-Allow-Origin: http://server.net")
  • 经过remote.net明确地授权server.net域后,server.net可以读取其返回的数据

6.  window.postMessage

window.postMessage是HTML5的新特性,允许不同源的脚本采用异步方式进行有限的通信,实现 跨文档、多窗口、跨域消息传递。

跨域是把双刃剑,开发者的跨域方法也是攻击者绕过同源策略的方法

Web浏览器同源策略
weixin_45525005的博客
04-25 384
同源策略含义: A网页的用户cookie,B网页不能打开读取 ,除非两个网页是“同源”的。 接下来解释同源 : 同源指的是三个相同即:协议相同,名相同,端口相同。 当一个浏览器的 两个tab页中分别打开了百度淘宝的页面, 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于那个页面的,即检查 是否同源, 只有 百度 同源的脚本才会被执行。 如果非同源,那么在请求数据时,...
web 请求安全问题
Web_boom的博客
08-23 1191
说起前端安全问题,大部分都听过 XSS CSRF 这两个名词,前端面试中我们也经常会问这两个点作为 web 安全的一些基础考察。但大部分只是从浅谈辄止,停留在基本词义,很少有人真正去主动实践过安全,并且思考背后的关联。前端安全主要来源两个方面,一个是不安全的脚本、另一个是不安全请求,前者代表各种 XSS 等注入脚本的手段、后者则发起非法的请求,CSRF 是代表。
Web安全基础:同源策略
qq_43642093的博客
03-17 5605
前言 二、同源策略 1.主动攻击与被动攻击 2.沙盒 3.同源策略 前言 首先讲述被动攻击,介绍浏览器针对此类攻击的防御策略——沙盒。沙盒技术的核心概念为“同源策略”,对于理解Web应用的安全隐患智攻关重要。 二、同源策略 1.主动攻击与被动攻击 针对Web应用程序的攻击可分为主动攻击(Active Attack)被动攻击(Passive Attack)。 主动攻击指攻击者直接攻击Web服务器,例如SQL注入攻击。 1.1 被动攻击 攻击者并不直接攻击服务器,而是针对网站的用户..
同源策略学习总结
马赛克的博客
04-15 249
一:前言 JavaScript可以操作html,发出请求,也可以用iframe加载别的网站。 为了防止当前登陆的网站去访问另一个已登录网站的信息,控制这个请求成功与否就叫同源策略 同源策略明确规定:不同的客户端脚本在没明确授权的情况下,不能读写对方的资源 如何判断是同源:协议相同+名相同+端口相同 注:www.example.comexample.com也不是同一个名,因为在...
浅析同源策略问题
乔治大哥的博客
12-31 625
浅析同源策略问题 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略, 则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 简单来说同源策略指:协议、名、端口号均相同则同源。 同源策略,它是由Netscape提出的一个著名的安全策略。 所有支持JavaScript...
同源策略
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为的问题访问不到。大致看了下腾讯云关于设置访问的教程,按照前端同学给的名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个的javascrip脚本另一个内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源政策/解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3363
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的urlajax请求地址的url必须同源,它要求协议、名、端口号三者必须相同,只要有一处不同就属于 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
JavaScript同源策略访问实例详解
10-18
JavaScript同源策略访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私数据安全而设立的一项机制,它规定只有当页面的协议、端口完全相同时,...
web Storage
weixin_71437031的博客
07-21 194
sessionStorage localStorage 的区别
Web Storage
huangpb的博客
10-09 3140
Web Storage 分为本地存储会话存储,不能访问。 Web Storage 使在不影响网站性能的情况下存储大量数据成为可能。 注意:Web Storage 存储的是字符串,获取存储时别忘了用 JSON.stringify() JSON.parse()对非字符串类型数据做相应的转换。 一、localStorage 本地存储(localStorage):长时间的保...
sessionStorage
purple_lumpy的博客
10-10 472
sessionStorage 会话存储     sessionStorage 是HTML5新增的会话存储对象,用于临时保存同一窗口(标签页)的数据,在关闭窗口或标签页之后将会删除这些数据。     在JS中,可以通过window.sessionStorage 或者 sessionStorage 调用此对象。   sessionStorage 对象的特点   1)同源策略限制      ...
前端知识库-前端安全系列二(同源策略
dzqxwzoe的博客
02-08 169
同源策略可以说是浏览器安全的基石,试想如果你打开一个钓鱼网站,这个网站可以随意获取你当前浏览器同时打开的其他网站信息,那我们还有什么安全可言。了解同源策略更是我们每一名前端开发的必修课,前端安全问题也是我们必须面对的问题之一,个人觉得同源策略就是在浏览器中形成一个个沙箱环境,让我们可以安全的浏览各个网站。另外作为一名前端开发者我们一定要写安全的代码,做一个稳重的程序员,守好安全的第一道防线。
同源策略(Same-Origin Policy)
最新发布
qq_74114417的博客
12-14 3156
同源策略Web浏览器的一种安全机制,用于限制来自不同源的文档或脚本如何与另一个源的资源进行交互。这种策略有助于防止恶意网站读取另一个网站的敏感数据,例如用户的登录凭据或私人信息。通过确保只有来自相同源的脚本才能访问操作DOM、发送AJAX请求或读取Cookie等,同源策略Web应用程序提供了基本的安全保障。Web内容的源由用于访问它的URL的方案(协议)、主机名(名)端口定义。即源由协议、端口组成。在页面中通过 about:blank 或 javascript:;
同源策略资源共享
AvaBlingBling的博客
09-23 1887
1.同源策略同源策略,就是限制JS只能访问与所在页面同一个(相同协议、名、端口)的内容。浏览器的整个安全体系均建立在此之上。支持同源策略的浏览器其实并不会阻止请求的发送响应的接收,它仅仅是阻止程序不能访问返回的数据而已。同源策略限制:1.无法读取非同源网页的cookie,localstorage,IndexDB;2.无法接触非同源网页的dom;3.无法获取非同源网页的请求(可以接受,浏览...
【网络基础】初级前端需要掌握知识,什么是同源策略,如何解决问题
庞囧的博客
04-24 546
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。请求其实是非常常见的,比如一些网站下面有很多子,同是一家人还不能访问就很离谱,于是出现了很多解决问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
cookie、localStorage、sessionStorage三种客户端存储方式
jjjh968的博客
09-14 2655
cookie cookie是http协议下,服务端或者脚本可以维护客户端信息的一种方式。 、路径、失效时间安全性都是服务器给浏览器的指示,它们不会随着请求发送给服务器,发送给服务器的只有名称与值对。 sessionStorage(会话存储) 同源策略: 不同于 Cookie, sessionStorage 访问限制更高,只有当前设定了 sessionStorage 的下才能访问。单标签页: 两个相同下的标签页不能互通。 即:在关闭标签页或者新开的标签页下都不能访问之前写下的 sessionS
三大缓存技术--localStorage、sessionStorage、Cookie
qq_56668869的博客
07-25 1256
前端三大缓存技术、客户端存储、cookie、localStorage、sessionStorage、三者的区别
理解Web安全基础:同源策略访问解析
然而,随着Web应用的发展,有时候开发者确实需要进行通信,例如,前端应用可能需要调用API服务器获取数据。这时,浏览器提供了一些访问的解决方案: 1. JSONP(JSON with Padding):通过动态插入`<script>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

vector<>

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值