什么是浏览器的同源政策

最新推荐文章于 2024-11-14 15:28:26 发布
原创 最新推荐文章于 2024-11-14 15:28:26 发布 · 295 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript

本文详细阐述了浏览器的同源政策,指出其限制了js脚本访问其他域的资源(如cookie、localStorage、DOM和跨域请求),旨在保护用户信息安全。img和script请求不受此限制,因为它们不会涉及响应结果的敏感操作。

我对浏览器的同源政策的理解是,⼀个域下的 js 脚本在未经允许的情况下,不能够访问另⼀个域的内容。这⾥的同源的指的是两个域的协议、域名、端⼝号必须相同,否则则不属于同⼀个域。

同源政策主要限制了三个⽅⾯

第⼀个是当前域下的 js 脚本不能够访问其他域下的 cookie、localStorage 和 indexDB。

第⼆个是当前域下的 js 脚本不能够操作访问操作其他域下的 DOM。

第三个是当前域下 ajax ⽆法发送跨域请求。

同源政策的⽬的主要是为了保证⽤户的信息安全,它只是对 js 脚本的⼀种限制,并不是对浏览器的限制,对于⼀般的 img、或者script 脚本请求都不会有跨域的限制,这是因为这些操作都不会通过响应结果来进⾏可能出现安全问题的操作。

 

codemami
关注
【网络安全 | 浏览器安全机制】同源策略(Same origin policy)及跨域请求
等风来
08-24 1万+
同源策略(Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
01-浏览器同源政策 以及 什么是跨域?怎么解决跨域问题?
九师兄
07-04 928
1,为什么会有跨域问题? 我以前写代码,都没有遇到过跨域问题?突然遇到跨域问题了?很纳闷为啥要有跨域这个问题啊?我不跨域不好吗?这样我一个网站只要有超链接我可以一直点下去,比如友情链接,多好啊? 2。同源政策 2.1 时间及其概念 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。(1995年以前的都不用考虑跨域问题) 同源策略(Same
同源策略与解决方法
weixin_45827423的博客
08-29 2617
同源策略(same origin policy),一种安全策略,用于限制一个源的文档或者它加载的脚本如何能与另一个源的资源进行交互。浏览器默认两个不同的源之间是可以互相访问资源和操作 DOM 的。两个不同的源之间若是想要访问资源或者操作 DOM,就会受到同源策略的制约。
JavaScript 漫游】【035】同源限制
CYW2019_HUST的博客
03-13 1053
本篇文章为【JavaScript 漫游】专栏的第 035 篇文章,记录了浏览器模型同源限制相关的知识点。
什么是同源策略
qq_44818085的博客
10-27 1万+
1.同源策略是什么? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能 如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是一个安全策略。所有支持JavaScript浏览器都会使用这个策略 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。 2.为什么要同源限制? 同源策略存在的意义: 非同源下的 cookie 等隐私数据可以被随意获取 非同源下的 DOM 可以的随意操作 ajax 可以任意请求的话,用
浏览器同源政策及其规避方法
随风的博客
05-07 347
浏览器安全的基石是“同源政策”(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍“同源政策”的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由Netscape公司引入浏览器。目前,所有浏览器都实现这个政策。 最初,它的含义是指,A网页设置的Cookie,B网页不能打开,除非这两个网页“同源”。所谓“同源”指的是三个相
深入了解浏览器同源政策中的“origin字段”规定
理解浏览器同源政策 同源策略是浏览器的一项重要安全功能,用于限制不同源之间的交互,防止恶意网站窃取用户数据。它要求网页只能与同一源的资源进行交互,即协议、域名和端口相同。这一策略的制定旨在保护用户...
模仿postman自研的HTTP Client Chrome插件,可绕过浏览器同源政策发起跨域请求
学无止境!
10-06 2516
带着半信半疑的心态,首先我找到官方文档仔细阅读后,然后按照官方文档上的教程写了一个demo,运行后发现果然可以绕过浏览器同源政策发起跨域请求并自动携带cookie,基于这一核心能力自己也实现了一个模仿postman的HTTP Client chrome插件,既可以满足工作需要,又能提升自己的技术。综上所述,目前还没有一个十全十美的方法,于是我又调研了一下chrome插件(chrome扩展)是否有发起跨域请求的能力。第二步,打开扩展主窗口,输入框中填写请求信息,发起请求。对应的就是该窗口的html文件,
浏览器同源策略+跨窗口通信(附项目iframe嵌入空白问题)
Erya Programming learning
11-14 792
设想这样一个场景:学校开放了一个窗口给家长,让家长可以通过窗口询问孩子的成绩。班级里面的每个学生都是互不相关、互不影响的个体,每个学生和家长们都来自同一个家庭。当同一个家庭里面的家长询问孩子的成绩,窗口就会给出相应学生的成绩数据。如果不同家庭的家长来询问其他学生的成绩,窗口都给出应答,这样孩子成绩的安全性就没法得到保证。这样不就乱套了吗?这个例子中,可以找到对应的映射:例子的窗口 —— 浏览器的窗口家长和学生 —— 一个个独立的网站来自同个家庭的成员(家长、学生)就是同源的。
浏览器同源政策是什么?如何解决跨域问题?ajax如何实现跨域?
湾湾叉会儿腰的博客
08-11 382
上面有提到说跨域请求是对 js 的限制,像 img 和 script 是不限制的
浏览器同源政策及跨域方法
h1458280799的博客
06-11 280
1、同源策略 A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同": 协议相同 域名相同 端口相同 2、同源的目的 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么? ...
什么是浏览器同源策略?
别动我u盘-的博客
10-09 3623
有时在开发中我们会遇到跨域的问题,众所周知,跨域是由浏览器同源策略引起的,那么什么是浏览器同源策略呢? 同源策略,是浏览器javascript施加的安全限制。所谓同源是指,域名,协议,端口均相同。 比如: http://www.123.com/index.html 调用 http://www.123.com/server.php (非跨域) http://www.123....
浏览器同源策略详解、主流的跨域解决方案、深入理解跨域请求概念及其根因
热门推荐
liangzhenmeng的博客
07-29 6万+
跨域问题其实就是浏览器同源策略造成的。同源策略限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互。这是浏览器的一个用于隔离潜在恶意文件的重要的安全机制。协议端口号域名必须一致。下表给出了与 URLURL是否跨域原因同源完全相同同源只有路径不同跨域协议不同跨域端口不同 ( http:// 默认端口是80)跨域主机不同同源策略:protocol(协议)、domain(域名)、port(端口)三者必须一致。
什么是浏览器同源策略?
田兴的博客
08-28 2178
概念 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 同源 是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: 浏览器中的大部分内容都是受同源策略限制的,但是以下三个标签可以不受限制: <img src=XXX> <link href=XXX> <script
什么是浏览器同源策略(Same-Origin Policy)?
xingyu_qie的专栏
08-06 2191
协议:如httphttps。域名:如。端口:如80(http 默认端口)或443(https 默认端口)。如果两个 URL 的协议、域名和端口都相同,则它们被认为是同源的。和是同源的。和不是同源的(不同的协议)。和不是同源的(不同的域名)。和不是同源的(不同的端口)。浏览器同源策略是 Web 安全的重要基石,尽管有时候它可能会限制开发者的操作,但其存在的主要目的是为了保护用户免受潜在的安全威胁。
什么是同源页面
最新发布
03-23
### 同源策略与同源页面概念 #### 1. **同源策略** 同源策略是一种浏览器的安全机制,用于防止不同源之间的恶意交互。具体来说,当两个URL具有相同的协议、域名和端口号时,它们被认为是同源的[^4]。这种策略限制了一个源下的文档或脚本如何与另一个源下的资源进行交互。 - 协议:指HTTP或HTTPS等通信协议。 - 域名:指具体的服务器地址,例如`example.com`。 - 端口:默认情况下,HTTP使用80端口,而HTTPS使用43端口。如果显式指定其他端口,则也会影响判断标准。 对于非同源的情况,浏览器会阻止一些敏感操作,例如读取或修改另一源上的DOM结构、Cookie或其他存储的数据[^2]。 --- #### 2. **同源页面定义** 同源页面是指那些满足上述同源条件的网页实例。换句话说,在同一协议、域名和端口号下运行的所有HTML页面都被视为属于同一个源。这些页面之间可以自由共享数据并相互调用JavaScript函数,因为它们被信任为来自同一个上下文环境。 例如: - URL A: `http://www.example.com/page1.html` - URL B: `http://www.example.com/page2.html` 由于两者都采用`http`作为协议,并且指向同样的主机名称(`www.example.com`)以及未特别指出任何特殊端口(即默认使用的80),所以他们会被认为是同源关系内的两页内容。 然而需要注意的是,即使路径部分有所不同也不会影响到其是否构成所谓的“同源”。只要前面提到的关键要素一致即可判定为同源状态。 --- #### 3. **Web安全性考量** 为了增强web应用的整体防护能力,除了依赖传统的同源政策之外还可以采取额外措施如CSP(Content Security Policy)[^1]: - CSP允许开发者制定更加精细的规定来控制哪些外部资源能够加载进入自己的网站当中; - 它还提供了进一步保护手段避免潜在危险行为的发生像嵌入式的javascript执行等等; 另外值得注意的一点就是虽然存在严格的隔离规定但是仍然可能存在合法需求去跨越不同的来源获取必要的资料或者服务于是乎诞生了几种技术解决方案用来解决这个问题其中包括但不限于JSONP(jsonp padding)方法[^3]. ```python function handleResponse(response){ console.log('Data received:', response); } ``` 上面展示了一段简单的回调处理程序代码片段适用于jsonp场景之下一旦远程服务器返回相应json格式加上封装好的函数名字那么本地就会自动触发这个预设好逻辑从而完成整个流程无需担心跨域带来的麻烦事前双方需达成共识关于预期接收形式等方面的信息交换过程. ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值