同源策略(SOP)Same-origin policy

最新推荐文章于 2024-12-14 19:50:29 发布
最新推荐文章于 2024-12-14 19:50:29 发布
阅读量942 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Web security Academy笔记 文章标签: web
原文链接:https://portswigger.net/web-security/cors/same-origin-policy
同源策略是一种Web浏览器的安全性机制,用于限制一个起源上的脚本访问另一个起源的数据。本文介绍了同源策略的基本概念、实施方式及其例外情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是同源策略?

同源策略是一种Web浏览器安全性机制,旨在防止网站相互攻击。

同源策略限制一个起源上的脚本访问另一个起源的数据。源由URI方案,域和端口号组成。例如,考虑以下URL:

http://normal-website.com/example/example.html

这将使用协议http,域normal-website.com和端口号80。下表显示了如果上述URL上的内容尝试访问其他来源时将如何应用同源策略:

网址已访问	允许访问?
http://normal-website.com/example/	是:相同的协议,域和端口
http://normal-website.com/example2/	是:相同的协议,域和端口
https://normal-website.com/example/	否:不同的协议和端口
http://en.normal-website.com/example/	否:其他域
http://www.normal-website.com/example/	否:其他域
http://normal-website.com:8080/example/	否:不同的端口*

*IE浏览器将允许此访问,因为在应用相同来源策略时IE不会考虑端口号。

为什么必须采用同源策略?

当浏览器将HTTP请求从一个来源发送到另一个来源时,与另一个域相关的任何cookie(包括身份验证会话cookie)也将作为请求的一部分发送。这意味着响应将在用户的会话中生成,并包括特定于用户的任何相关数据。如果没有同源策略,则如果您访问了恶意网站,它将能够从GMail读取电子邮件,从Facebook读取私人消息等。

同源策略如何实施?

同源策略通常控制JavaScript代码对跨域加载的内容的访问。通常允许页面资源的跨域加载。例如,SOP允许通过<img>标签嵌入图像,通过标签嵌入媒体,并且<video>标签包含JavaScript <script>。但是,尽管这些外部资源可以由页面加载,但是页面上的任何JavaScript都无法读取这些资源的内容。

同源策略有多种例外情况:

  • 有些对象是可写的,但跨域却不可读,例如iframe或新窗口中的location对象或location.href属性。
  • 某些对象是可读但不可写的跨域对象,例如对象的length属性window(存储页面上正在使用的帧数)和closed属性。
  • 该replace函数通常可以称为location对象上的跨域。
  • 你可以跨域调用某些函数。例如,你可以调用的功能close,blur并focus在一个新的窗口。postMessage也可以在iframe和新窗口上调用该函数,以便将消息从一个域发送到另一个域。

由于遗留要求,在处理cookie时,同源策略更加宽松,因此,即使每个子域在技术上都是不同的来源,也通常可以从站点的所有子域访问它们。您可以使用HttpOnlycookie标志来部分缓解这种风险。

可以使用放宽同源策略document.domain。此特殊属性允许您放宽特定域的SOP,但前提是它是FQDN(完全限定域名,fully qualified domain name)的一部分。例如,您可能有一个域,marketing.example.com并且想在上读取该域的内容example.com。为此,两个域都需要设置document.domain为example.com。然后,SOP将允许两个域之间的访问,尽管它们起源不同。过去,可以将document.domainTLD设置为com,例如,允许在同一TLD上的任何域之间进行访问,但是现在现代浏览器阻止这种情况。

【网络安全 | 浏览器安全机制】同源策略Same origin policy)及跨域请求
等风来
08-24 1万+
同源策略Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
漫谈同源策略SOP)和跨域资源共享(CORS)
IerkeU的博客
04-22 4450
漫谈.....
同源策略(SOP)和跨域访问
公众号shadow sock7
04-04 1611
参考: http://web.jobbole.com/83864/ http://louiszhai.github.io/2016/01/11/cross-domain/ https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy所谓同源就是要求, 域名, 协议, 端口相同. 非同源的脚本不能访问或者操作其他
同源政策 (SOP)
allway2的博客
09-05 750
其目的是将浏览器窗口(和选项卡)相互隔离,例如,当您访问 example.com 时,该网站将无法读取您来自 gmail.com 的电子邮件,而您可能在另一个网站上打开了这些电子邮件标签。这意味着,如果您在网站的 iframe 中加载恶意网站,该框架可以将您网站的 URI 更改为例如网络钓鱼页面(克隆您的页面,例如窃取用户密码或让他们下载恶意的东西)。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。它谈论的是预检请求和请求模式。
same-origin policy----wikipedia
weixin_30414245的博客
05-20 311
In computing, the same-origin policy is an important concept in the web application security model. Under the policy, a web browser permits scripts contained in a first web page to access data in a se...
同源政策(same-origin policy
TKOP_的博客
04-20 2059
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
Web- 同源策略Same-Origin Policy, SOP
青衫客36的博客
02-19 1479
协议(Protocol):例如,HTTP、HTTPS。域名(Host):例如,。端口(Port):例如,80(HTTP的默认端口)、443(HTTPS的默认端口)。只有当这三部分完全匹配时,两个 URL 才属于同一个源。
第八节 浏览器同源策略介绍-01
09-15
同源策略Same-origin PolicySOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面恶意代码访问其他页面。 源的含义 在计算机中,源(Origin)是指信息的来源位置。根据RFC6454文档规定,源是由协议、...
「 网络安全常用术语解读 」同源策略SOP详解:没有SOP就没有隐私
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-06 2100
同源策略Same Origin PolicySOP)是浏览器的一种安全机制,旨在防止网站相互攻击。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问/操作另一个域的绝大部分属性和方法。这种策略有助于保护用户数据的安全,防止恶意脚本或代码的执行。同时,它也限制了网页能够访问和操作的网络资源范围,有助于提高网页的性能和安全性。同源策略限制一个源上的脚本访问另一个源的数据。一个源包括一个URI协议、域名和端口号。这使用 http 协议、域名 normal-website.com 和端口号 80。
Http中Host,Referer,Origin和Access-Control-Allow-Origin
Mr_Li的博客
03-21 1368
在HTTP协议中,Referer 是一个请求头(Request Header),它包含了当前请求页面的完整URL,即用户是从哪个页面链接到当前页面的。这个头部字段主要用于服务器端记录访问来源,分析用户行为,以及防止CSRF(跨站请求伪造)攻击。Referer 字段对于网站运营者来说是一个非常有用的工具,因为它可以帮助网站分析用户的行为模式,了解用户是如何找到并浏览网站的。例如,如果一家在线商店发现很多用户都是从特定博客文章链接过来的,那么他们可能会考虑与该博客作者建立合作关系,或者优化自己的营销策略。
同源策略SOP和跨域资源共享CORS
情感博主V
01-12 825
同源策略SOP 同源是指协议、域名、端口均相同。 同源策略是浏览器行为,限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。 同源策略与CSRF 同源策略不能防止CSRF 同源策略SOP不能防止CSRF的原因是: 1、SOP可以通过html tag加载资源; 2、SOP不阻止接口请求,而是拦截请求结果; 跨域资源共享CORS CORS有以下两种: 1、简单请...
allow-same-origin属性案例
04-29
两个网页所在URL的域名相同、端口相同才能被当初同一源。出于安全考虑,如果两个网页不是同一源,那么网页是不允许使用Ajax进行交互的,一旦设置了allow-same-origin属性,就会被视为同源,加载服务器的内容,这些操作都需要JavaScript,因此常常需要与allow-scripts属性相结合使用 博客文章地址:https://blog.youkuaiyun.com/sujin_/article/details/80144310
同源策略Same-Origin Policy
最新发布
qq_74114417的博客
12-14 3023
同源策略Web浏览器的一种安全机制,用于限制来自不同源的文档或脚本如何与另一个源的资源进行交互。这种策略有助于防止恶意网站读取另一个网站的敏感数据,例如用户的登录凭据或私人信息。通过确保只有来自相同源的脚本才能访问和操作DOM、发送AJAX请求或读取Cookie等,同源策略Web应用程序提供了基本的安全保障。Web内容的源由用于访问它的URL的方案(协议)、主机名(域名)和端口定义。即源由协议、域名和端口组成。在页面中通过 about:blank 或 javascript:;
彻底理解浏览器同源策略SOP
andy_zhaozhao的专栏
01-09 1403
本文来自于公众号链接: 彻底理解浏览器同源策略SOP) 多种认证方式的优先级问题,如何杜绝冲突的问题 两个示例的描述不清晰的问题 这是一篇理论和实战相结合的干货文章,建议手机阅读者收藏本文,然后使用电脑下载源码进行实战 大纲: 1. 一.概述 1. 二.源码 1. 三.示例1:接口分多组,每组认证方式不同 1. 四.示例2:同组接口同时支持多种认证 1. 五.总结 1. 六.参考 ...
同源策略same origin policy
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
AJAX Cross-Domain Same-Origin Policy limitation
点点滴滴
05-29 183
AJAX Same-Origin Policy(SOP) limitation:     摘自:http://www.ibm.com/developerworks/library/wa-aj-jsonp1/   http://www.ibm.com/developerworks/cn/lotus/mashup-openajax/index.html         同源策略中“...
同源策略Same-origin policy
weixin_33725722的博客
03-23 152
2019独角兽企业重金招聘Python工程师标准>>> ...
理解同源(Same-Origin Policy)和跨域(CORS)
python_neophyte的博客
09-02 2226
写在前面 本文作为我这几天阅读相关文章的一个小结。 什么是浏览器的同源策略同源策略是浏览器的一种为了保护用户信息安全而制订的安全策略。 为什么要有同源保护? 既然是一种安全策略,那肯定是没有它的时候,会有安全问题,也就是说,没有它 = 不安全,有它 = 有了基本的安全保障,下面为了解释没有同源保护存在时可能出现的安全问题,先解释cookie。 什么是cookie? 学习web开发的朋友,或者cs从业人员肯定都知道cookie这个东西的存在。简单来说,它是用户的一个会员卡,就好像在现实生活中,去超市(超市
同源策略same-origin policy)及三种跨域方法
weixin_30825581的博客
01-23 328
同源策略same-origin policy)及三种跨域方法 1.同源策略 含义: 同源是指文档的来源相同,主要包括三个方面 协议 主机 载入文档的URL端口 所以同源策略就是指脚本只能读取和所属文档来源相同的窗口和文档的属性这样一个规定。 同源策略目的: 一项政策的颁布肯定事出有因,所以同源策略也不例外,主要是出于安全性考虑,比如可以防止恶意脚本读取内容 注意: 同源策略限制的是脚本嵌入的...
python strict-origin-when-cross-origin
06-12
在 Python 中,"strict-origin-when-cross-origin" (简称 SOP) 不是一个直接的 Python 概念,它通常是指同源策略Same-Origin Policy)的一个扩展概念,这个策略是 web 浏览器用来限制不同源之间数据交互的安全策略。在 JavaScript 中,SOP 原则确保了只有从同一个源(协议、域名和端口)发起的请求才能访问其他资源,如 cookies 和 API。 在讨论 Python 的上下文中,它可能是指 Flask 或 Django 等 Web 框架中用于处理跨域资源共享(Cross-Origin Resource Sharing, CORS)的配置选项。当你使用这些框架时,`strict-origin-when-cross-origin` 是一种 CORS 配置策略,它表示只有来自源站(`Access-Control-Allow-Origin`)的跨域请求才会应用更严格的策略,即只允许那些与原始请求来源相同的 origin。 具体设置例子: ```python from flask import Flask, jsonify, make_response app = Flask(__name__) app.config['CORS_HEADERS'] = 'Content-Type' app.config['CORS_ORIGINS'] = ['http://example.com', 'https://subdomain.example.com'] @app.after_request def after_request(response): if response.status_code == 200 and request.method == 'OPTIONS': response = make_response(jsonify({'allow_credentials': True, 'access_control_allow_credentials': True, 'access_control_allow_headers': '*', 'access_control_allow_methods': '*', 'access_control_allow_origin': '*'}), 204) response.headers['Access-Control-Max-Age'] = '1728000' # 20 days return response # 使用时确保在需要设置 CORS 的路由上应用此策略 @app.route('/api/data') @cross_origin(origins=['*'], allow_headers='*', strict_origin_when_cross_domain=True) def my_api(): # ... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值