什么是同源策略?
同源策略是一种Web浏览器安全性机制,旨在防止网站相互攻击。
同源策略限制一个起源上的脚本访问另一个起源的数据。源由URI方案,域和端口号组成。例如,考虑以下URL:
http://normal-website.com/example/example.html
这将使用协议http,域normal-website.com和端口号80。下表显示了如果上述URL上的内容尝试访问其他来源时将如何应用同源策略:
网址已访问 允许访问?
http://normal-website.com/example/ 是:相同的协议,域和端口
http://normal-website.com/example2/ 是:相同的协议,域和端口
https://normal-website.com/example/ 否:不同的协议和端口
http://en.normal-website.com/example/ 否:其他域
http://www.normal-website.com/example/ 否:其他域
http://normal-website.com:8080/example/ 否:不同的端口*
*IE浏览器将允许此访问,因为在应用相同来源策略时IE不会考虑端口号。
为什么必须采用同源策略?
当浏览器将HTTP请求从一个来源发送到另一个来源时,与另一个域相关的任何cookie(包括身份验证会话cookie)也将作为请求的一部分发送。这意味着响应将在用户的会话中生成,并包括特定于用户的任何相关数据。如果没有同源策略,则如果您访问了恶意网站,它将能够从GMail读取电子邮件,从Facebook读取私人消息等。
同源策略如何实施?
同源策略通常控制JavaScript代码对跨域加载的内容的访问。通常允许页面资源的跨域加载。例如,SOP允许通过<img>
标签嵌入图像,通过标签嵌入媒体,并且<video>
标签包含JavaScript <script>
。但是,尽管这些外部资源可以由页面加载,但是页面上的任何JavaScript都无法读取这些资源的内容。
同源策略有多种例外情况:
- 有些对象是可写的,但跨域却不可读,例如iframe或新窗口中的location对象或location.href属性。
- 某些对象是可读但不可写的跨域对象,例如对象的length属性window(存储页面上正在使用的帧数)和closed属性。
- 该replace函数通常可以称为location对象上的跨域。
- 你可以跨域调用某些函数。例如,你可以调用的功能close,blur并focus在一个新的窗口。postMessage也可以在iframe和新窗口上调用该函数,以便将消息从一个域发送到另一个域。
由于遗留要求,在处理cookie时,同源策略更加宽松,因此,即使每个子域在技术上都是不同的来源,也通常可以从站点的所有子域访问它们。您可以使用HttpOnlycookie标志来部分缓解这种风险。
可以使用放宽同源策略document.domain。此特殊属性允许您放宽特定域的SOP,但前提是它是FQDN(完全限定域名,fully qualified domain name)的一部分。例如,您可能有一个域,marketing.example.com并且想在上读取该域的内容example.com。为此,两个域都需要设置document.domain为example.com。然后,SOP将允许两个域之间的访问,尽管它们起源不同。过去,可以将document.domainTLD设置为com,例如,允许在同一TLD上的任何域之间进行访问,但是现在现代浏览器阻止这种情况。