位置: 编程技术 - 正文

深入浅析同源策略和跨域访问(同源策略详解)

编辑:rootadmin

推荐整理分享深入浅析同源策略和跨域访问(同源策略详解),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:深入浅析同源策略研究,深入浅析同源策略的例子,深入浅析同源策略的优点,深入浅析同源策略的优点,深入浅析同源策略的优点,深入浅析同源策略的优点,深入浅析同源策略的例子,深入浅析同源策略研究,内容如对您有帮助,希望把文章链接给更多的朋友!

1. 什么是同源策略

理解跨域首先必须要了解同源策略。同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。

何谓同源:

URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。

同源策略:

浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。 (白帽子讲web安全[1])

从一个域上加载的脚本不允许访问另外一个域的文档属性。

举个例子:

比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。

在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以加载跨域资源,而不受同源限制,但浏览器限制了JavaScript的权限使其不能读、写加载的内容。

另外同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等仍然认为属于同源。

代码示例( 在Firefox中会得到如下错误:

Error: Permission denied to access property 'body'

Document对象的domain属性存放着装载文档的服务器的主机名,可以设置它。 例如来自"blog.csdn.net"和来自"bbs.csdn.net"的页面,都将document.domain设置为"csdn.net",则来自两个子域名的脚本即可相互访问。 出于安全的考虑,不能设置为其他主domain,比如 Ajax跨域

Ajax (XMLHttpRequest)请求受到同源策略的限制。

Ajax通过XMLHttpRequest能够与远程的服务器进行信息交互,另外XMLHttpRequest是一个纯粹的Javascript对象,这样的交互过程,是在后台进行的,用户不易察觉。

因此,XMLHTTP实际上已经突破了原有的Javascript的安全限制。

举个例子:

假设某网站引用了其它站点的javascript,这个站点被compromise并在javascript中加入获取用户输入并通过ajax提交给其他站点,这样就可以源源不断收集信息。

或者某网站因为存在漏洞导致XSS注入了javascript脚本,这个脚本就可以通过ajax获取用户信息并通过ajax提交给其他站点,这样就可以源源不断收集信息。

如果我们又想利用XMLHTTP的无刷新异步交互能力,又不愿意公然突破Javascript的安全策略,可以选择的方案就是给XMLHTTP加上严格的同源限制。

这样的安全策略,很类似于Applet的安全策略。IFrame的限制还仅仅是不能访问跨域HTMLDOM中的数据,而XMLHTTP则根本上限制了跨域请求的提交。(实际上下面提到了CORS已经放宽了限制)

随着Ajax技术和网络服务的发展,对跨域的要求也越来越强烈。下面介绍Ajax的跨域技术。

2.1 JSONP

JSONP技术实际和Ajax没有关系。我们知道<script>标签可以加载跨域的javascript脚本,并且被加载的脚本和当前文档属于同一个域。因此在文档中可以调用/访问脚本中的数据和函数。如果javascript脚本中的数据是动态生成的,那么只要在文档中动态创建<script>标签就可以实现和服务端的数据交互。

JSONP就是利用<script>标签的跨域能力实现跨域数据的访问,请求动态生成的JavaScript脚本同时带一个callback函数名作为参数。其中callback函数本地文档的JavaScript函数,服务器端动态生成的脚本会产生数据,并在代码中以产生的数据为参数调用callback函数。当这段脚本加载到本地文档时,callback函数就被调用。

第一个站点的测试页面(

服务器端的Javascript脚本( 为了动态实现JSONP请求,可以使用Javascript动态插入<script>标签:

JSONP协议封装了上述步骤,jQuery中统一是现在AJAX中(其中data type为JSONP): 为了支持JSONP协议,服务器端必须提供特别的支持[2],另外JSONP只支持GET请求。

2.2 Proxy

使用代理方式跨域更加直接,因为SOP的限制是浏览器实现的。如果请求不是从浏览器发起的,就不存在跨域问题了。

使用本方法跨域步骤如下:

1. 把访问其它域的请求替换为本域的请求

2. 本域的请求是服务器端的动态脚本负责转发实际的请求 各种服务器的Reverse Proxy功能都可以非常方便的实现请求的转发,如Apache httpd + mod_proxy。

Eg.

为了通过Ajax从 然后利用Apache Web服务器的Reverse Proxy功能做如下配置:

ProxyPass /api CORS

深入浅析同源策略和跨域访问(同源策略详解)

2.3.1 Cross origin resource sharing

“Cross-origin resource sharing (CORS) is a mechanism that allows a web page to make XMLHttpRequests to another domain. Such "cross-domain" requests would otherwise be forbidden by web browsers, per the same origin security policy. CORS defines a way in which the browser and the server can interact to determine whether or not to allow the cross-origin request. It is more powerful than only allowing same-origin requests, but it is more secure than simply allowing all such cross-origin requests.” ----Wikipedia[3]

通过在HTTP Header中加入扩展字段,服务器在相应网页头部加入字段表示允许访问的domain和HTTP method,客户端检查自己的域是否在允许列表中,决定是否处理响应。

实现的基础是JavaScript不能够操作HTTP Header。某些浏览器插件实际上是具有这个能力的。

服务器端在HTTP的响应头中加入(页面层次的控制模式):

Access-Control-Allow-Origin: example.com Access-Control-Request-Method: GET, POST Access-Control-Allow-Headers: Content-Type, Authorization, Accept, Range, Origin Access-Control-Expose-Headers: Content-Range Access-Control-Max-Age:

多个域名之间用逗号分隔,表示对所示域名提供跨域访问权限。"*"表示允许所有域名的跨域访问。

客户端可以有两种行为:

1. 发送OPTIONS请求,请求Access-Control信息。如果自己的域名在允许的访问列表中,则发送真正的请求,否则放弃请求发送。

2. 直接发送请求,然后检查response的Access-Control信息,如果自己的域名在允许的访问列表中,则读取response body,否则放弃。

本质上服务端的response内容已经到达本地,JavaScript决定是否要去读取。

2.3.2 测试

测试页面 测试Restful API( 测试1:

测试正常的跨域请求的行为。

测试结果:

1. 跨域GET请求已经发出,请求header中带有 Origin 2. 服务器端正确给出response 3. Javascript拒绝读取数据,在firebug中发现reponse为空,并且触发error回调

测试2:

测试支持CORS的服务器的跨域请求行为。 对Restful API做如下改动,在response中加入header: def index(): #Add CORS header# response.set_header("Access-Control-Allow-Origin", " return 'Hello World.'

测试结果:

1. 跨域GET请求已经发出,请求header中带有 Origin 2. 服务器端正确给出response 3. 客户端正常获取数据

测试3:

测试OPTIONS请求获取CORS信息。 对客户端的Ajax请求增加header:

对Restful API做如下改动:

测试结果:

1. Ajax函数会首先发送OPTIONS请求 2. 针对OPTIONS请求服务器 3. 客户端发现没有CORS header后不会发送GET请求

测试4:

增加服务器端对OPTIONS方法的处理。 对Restful API做如下改动:

测试结果:

1. Ajax函数会首先发送OPTIONS请求 2. 针对OPTIONS请求服务器 3. 客户端匹配CORS header中的allow headers and orgin后会正确发送GET请求并获取结果

测试发现,Access-Control-Allow-Headers是必须的。

CORS协议提升了Ajax的跨域能力,但也增加了风险。一旦网站被注入脚本或XSS攻击,将非常方便的获取用户信息并悄悄传递出去。

4. Cookie 同源策略

Cookie中的同源只关注域名,忽略协议和端口。所以 Flash/SilverLight跨域

浏览器的各种插件也存在跨域需求。通常是通过在服务器配置crossdomain.xml[4],设置本服务允许哪些域名的跨域访问。 客户端会首先请求此文件,如果发现自己的域名在访问列表里,就发起真正的请求,否则不发送请求。

通常crossdomain.xml放置在网站根目录。

6. 总结

互联网的发展催生了跨域访问的需求,各种跨域方法和协议满足了需求但也增加了各种风险。尤其是XSS和CSRF等攻击的盛行也得益于此。

了解这些技术背景有助于在实际项目中熟练应用并规避各种安全风险。

学习JavaScript设计模式(策略模式) 何为策略?比如我们要去某个地方旅游,可以根据具体的实际情况来选择出行的线路。1、策略模式的定义如果没有时间但是不在乎钱,可以选择坐飞机

js检测iframe是否加载完成的方法 本文实例讲述了js检测iframe是否加载完成的方法。分享给大家供大家参考,具体如下:这里是继上一篇《js实现iframe框架取值的方法(兼容IE,firefox,chrome等)

谈谈javascript中使用连等赋值操作带来的问题 前言文章标题这句话原本是在国外某JavaScript规范里看到的,当时并没有引起足够的重视,直到最近一次出现了bug发现JS里的连等赋值操作的特色(坑)。网

标签: 同源策略详解

本文链接地址:https://www.jiuchutong.com/biancheng/386294.html 转载请保留说明!

上一篇:js实现iframe框架取值的方法(兼容IE,firefox,chrome等)(js的iframe)

下一篇:学习JavaScript设计模式(策略模式)(javascript程序设计教程)

  • 企业所得税会计科目
  • 怎么把销项税额进项税额给转掉
  • 简易计税是什么税种
  • 企业筹建期间契税账务处理
  • 施工单位临时设施搭建费属于
  • 累计缴税扣除额
  • 市内打车费计入差旅费吗
  • 车辆购置税计入成本吗
  • 销售免税的有机食品
  • 委托境外研发费用不超过境内符合条件的研发费用
  • 作为展示用的物品
  • 电费票子丢了怎么办
  • 小规模季度销售超过30万怎么纳税
  • 非流动资产基金是什么意思
  • 研发企业税率
  • 税务贷的用途
  • 赠与房产再出售税费
  • 单位探望病人如何报销费用?
  • 平均净资产计算公式是什么意思
  • 公司购买的财产保险服务可以抵扣进项吗
  • 前端向后端发送请求
  • 用人单位发放工资时跨行手续费应由谁支付
  • 购买商城购买化肥
  • 苹果手机系统升级后电量消耗快
  • 委托外单位加工发出的材料分录
  • 土地增值税可以扣除的税金
  • 城市里创业
  • 直线法摊销无形资产属于谨慎性吗
  • 常用的php操作mysql的函数有哪些
  • 存货需要计算填列吗
  • 长期股权投资后续计量收到红利账务处理
  • css详解
  • vue3.0启动命令
  • echarts api文档
  • 2023年我要实现的目标是
  • php sleep函数
  • 餐饮固定成本怎么算的
  • 应收账款属于会计的哪个要素
  • discuz怎么添加diy模块
  • 固定资产盘盈、盘亏的账务处理?
  • 种植中药材公司取名字大全
  • discuz发帖标签
  • 可供分配利润的会计分录
  • 简述SQL server管理器的功能
  • db2udb
  • 企业购置房产进项税税率
  • 房产税的纳税义务人
  • 小微企业所得税税收优惠政策2023年
  • 城镇土地使用税每年都要交吗
  • 研发部门的房租可以资本化
  • 库存商品什么时候确认收入
  • 残保金申报可以随便填吗
  • 权益法下股权投资转让
  • 公司注销其他应付款法人借款
  • 收到预付卡结算款怎么入账
  • 收到去年所得税汇算清缴退税账务处理
  • 公司注册实收资本
  • 应付利息怎么记账
  • 公司投资银行理财产品如何做账
  • 使用灭火器人要站在上风口还是下风口
  • windowsupdate.diagcab
  • centos重新安装命令
  • 联想win8一键还原系统操作步骤
  • remind32.exe - remind32是什么进程 有什么用
  • oodag.exe - oodag是什么进程 有什么作用
  • win8.1关机没反应
  • opengl纹理错误变成条纹
  • shell获取文件内容给变量
  • jq判断浏览器
  • shell脚本switch
  • Git && GitHub 之远程协作
  • python 连接符
  • js实现点击按钮移动滑块到另一个按钮的方法
  • js调用键盘
  • 北京重点税源直报平台登录
  • 理财持有时间
  • 重庆平均缴费指数查询
  • 浙江省个人医保累计自费多少可以报销
  • 18个税种已立法数量
  • 北京市朝阳区地税
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设