JavaScript 同源策略 -浏览器安全机制

最新推荐文章于 2025-02-04 12:31:11 发布
原创 最新推荐文章于 2025-02-04 12:31:11 发布 · 420 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #前端

同源策略(Same-Origin Policy)是浏览器的一种安全机制,用于限制一个网页只能访问与其相同源(协议、域名、端口)下的资源。它的目的是防止恶意网站访问或篡改其他网站的数据。具体来说,同源策略意味着:

  1. 协议:例如 http://https:// 被认为是不同的协议。
  2. 域名:例如 example.comapi.example.com 被认为是不同的域名。
  3. 端口:即使两个网页的协议和域名相同,但端口不同(如 http://example.com:80http://example.com:8080),它们也会被视为不同源。

具体的限制:

  • AJAX 请求:你不能通过 AJAX 请求跨域访问其他源的数据,除非目标服务器允许跨域请求(例如通过 CORS)。
  • DOM 访问:一个域下的 JavaScript 不能访问另一个域的网页内容(例如,通过 document 对象)。
  • Cookies:浏览器不会向不同源的请求发送 cookies。

解决跨域问题的方式:

  1. CORS(跨源资源共享):这是浏览器允许的跨域方式,目标服务器需要设置适当的 HTTP 头(如 Access-Control-Allow-Origin)来允许跨域访问。
  2. JSONP:通过动态插入 <script> 标签来进行跨域请求,通常仅支持 GET 请求。
  3. 代理服务器:设置一个中间服务器,将跨域请求发送到该服务器,然后由该服务器转发给目标服务器,避免直接从浏览器发起跨域请求。
  4. WebSocket:WebSocket 连接并不受到同源策略的限制,可以跨域进行通信。

总结:

同源策略是 Web 安全的基石,它保护用户免受恶意攻击。尽管它在一定程度上限制了开发者的自由,但可以通过多种方法(如 CORS)解决跨域问题。

【网络安全 | 浏览器安全机制同源策略Same origin policy)及跨域请求
等风来
08-24 1万+
同源策略Same-origin policy)是一个浏览器安全机制,用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源(例如文档、脚本、样式表和AJAX请求)的规则。在同源策略中,如果两个URL具有相同的协议(protocol),主机(host)和端口号(port),则它们被视为同源(origin)。当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
浏览器安全(同源策略浏览器沙箱)
2301_79442654的博客
01-13 1151
浏览器沙箱是一种安全机制,它为浏览器中的各种网页内容,如 JavaScript 代码、插件等,创建一个隔离的运行环境。在这个环境中,运行的程序被限制在特定范围内,无法对外部系统或其他沙箱环境造成破坏。这就好比在一个密封的 “沙箱” 内进行游戏,里面的活动不会影响到沙箱之外的世界。
Javascript面试题 阐述js的同源策略
weixin_42686900的博客
02-27 242
同源策略可以有效保护用户的隐私和安全,防止恶意网站进行跨站攻击。iframe限制:iframe元素加载的页面必须与父页面具有相同源,否则无法通过JavaScript访问iframe中的内容。脚本访问限制:JavaScript脚本只能访问与其所属页面具有相同源的资源,包括读取和修改DOM、发送AJAX请求等。DOM访问限制:JavaScript脚本只能访问与其所属页面具有相同源的DOM元素,不能访问其他页面的DOM。Cookie限制:浏览器只会发送同源请求的Cookie,不会发送给其他源的请求。
web5-HTTP/HTTPS
growing_duck的博客
11-01 2216
http 和 https解析
Sec-Fetch-*请求头,了解下?
thlzjfefe的博客
06-08 2282
如果你使用76+版本的chrome浏览器,通过开发者面板查看每个网络请求,会发现都有几个Sec-Fetch开头的请求头,例如访问百度首页https://www.baidu.com/的请求: Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: none Sec-Fetch-User: ?1 这是用来干嘛的呢,简单来说,就是网络请求的元数据描述,服务端根据这些补充数据进行细粒度的控制响应,换句话说,服务端可以精确判断请求的合
HTTP报文
凉茶铺的博客
07-22 2311
HTTP报文是在HTTP应用程序之间发送的数据块(用于HTTP协议交互的信息)。请求端(客户端)的HTTP报文叫做请求报文,响应端(服务器端)的叫做响应报文。
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面恶意代码访问其他页面。 ...
强化Web安全:JavaScript同源策略浏览器安全规则详解
为了防止恶意代码的注入和跨站脚本攻击(XSS),浏览器实施了同源策略Same-Origin Policy)。这个策略限制了不同源之间的通信,确保用户只能从自己访问的源加载或执行JavaScript,增强了浏览器对用户数据的保护。...
浏览器实战篇----浏览器安全概述
qq_43511094的博客
01-18 5880
浏览器安全概述1. 揭秘浏览器1.1 同源策略1.2 HTTP首部1.3 标记语言HTMLXML1.4 CSS1.5 脚本JavaScriptVBScript1.6 DOM1.7 渲染引擎WebkitTridentGeckoBlink1.8 Geolocation(地理定位)1.9 Web存储1.10 跨域资源共享1.11 HTML52. 浏览器在强化防御方面的特性HTTP首部:1.内容安全策略2.安全cookie标志3.HttpOnly cookie标志4.X-Content-Type-Options5.
同源策略与跨域解决方案详解
weixin_47588164的博客
09-02 1192
同源策略虽然给开发者带来了诸多挑战,但通过上述几种方法,我们可以有效地解决跨域问题。随着技术的发展,未来还会有更多新的解决方案出现。理解这些机制的工作原理,有助于我们在开发过程中更好地利用它们,构建安全可靠的 Web 应用。原文链接:https://juejin.cn/post/7409148560778362931。
跨域问题和解决方案
最新发布
qq_36973122的博客
02-04 1291
是一套浏览器,当一个的文档和脚本,与另一个的资源进行通信时,同源策略就会对这个通信做出不同程度的限制。简单来说,同源策略对,对因此限制造成的开发问题,称之为。
前端性能优化 24 条建议(2020)
分享我的编程经验和学习心得
03-30 1470
占位
javascript同源策略
acm765152844的博客
03-01 2917
本文根据其他文章做修改和补充。 一、同源策略的产生 JS可以读取/修改网页的值。 一个浏览器中,打开一个银行网站和一个恶意网站,如果恶意网站能够对银行网站进行修改,那么就会很危险。 如果某个网站可以通过从其他的网站中获取页面到自己的网站,那么对那些做原创网站的站长就很不公平。 同源策略就是为了解决这类问题而出现的。 二、什么是同源策略(举例) 同源策略,即拥有相同的协议(
JavaScript同源策略
山水子农
08-15 1112
同源策略Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。 示例:来自h
Sec-Fetch-Site
weixin_63490470的博客
08-13 1639
Fetch Metadata 是W3C提出的Web API的一部分,它为HTTP请求和响应添加了额外的元数据。这些元数据可以帮助服务器和客户端更好地理解请求和响应,从而提高Web应用程序的性能和安全性。
js-22同源策略
Charlotte_99的博客
11-30 1136
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BGDnD5Mp-1669771511418)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1649307607396.png)]实现原理: 动态构造script标签,将请求url接口地址作为script属性src值。callBack 由后端提供。//动态创建script标签。
同源政策(same-origin policy)
TKOP_的博客
04-20 2161
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值