浏览器同源策略+跨窗口通信(附项目iframe嵌入空白问题)

最新推荐文章于 2024-12-19 08:15:00 发布
最新推荐文章于 2024-12-19 08:15:00 发布
阅读量688 收藏 23
点赞数 24
分类专栏: HTTP/浏览器 文章标签: 同源策略 浏览器 跨窗口通信 iframe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29493173/article/details/143770523
版权

前言

设想这样一个场景:

学校开放了一个窗口给家长,让家长可以通过窗口询问孩子的成绩。班级里面的每个学生都是互不相关、互不影响的个体,每个学生和家长们都来自同一个家庭。当同一个家庭里面的家长询问孩子的成绩,窗口就会给出相应学生的成绩数据。

如果不同家庭的家长来询问其他学生的成绩,窗口都给出应答,这样孩子成绩的安全性就没法得到保证。这样不就乱套了吗?

这个例子中,可以找到对应的映射:

例子的窗口 —— 浏览器的窗口
家长和学生 —— 一个个独立的网站
来自同个家庭的成员(家长、学生)就是同源

想要解决类似的安全性问题,浏览器推出了同源政策的规则

一、“同源(Same Origin)”策略

限制了窗口(window)和 frame 之间的相互访问,目的是保护用户免遭信息盗窃。

规定:

  • 如果我们有对另外一个窗口的引用,并且该窗口是同源的,那么我们就具有对该窗口的全部访问权限。
  • 否则,如果该窗口不是同源的,那么我们就无法访问该窗口中的内容:变量,文档,任何东西。唯一的例外是 location:我们可以修改它(进而重定向用户)

二、 同源

如果两个 URL 具有相同的协议,域和端口,则称它们是“同源”的。

示例1
协议不一致(http vs https),不同源:

http://www.example.com/page1.html
https://www.example.com/page2.html

示例2:
域名不同(一个是www.example.com,另一个是subdomain.example.com),不同源:

http://www.example.com/page1.html
http://subdomain.example.com/page2.html

示例3:
具有相同的协议和域名,但是端口不同,不同源:

http://www.example.com:8080/page1.html
http://www.example.com:80/page2.html

三、跨域通信

3.1 document.domain(不推荐)

条件:窗口的二级域相同
例如 erya.youkuaiyun.com,peter.youkuaiyun.com (它们共同的二级域是youkuaiyun.com)

使用:在每个这样的窗口<script>加上以下代码:

document.domain = 'site.com';

这个操作可以使浏览器忽略他们域名的不同,使得它们可以被作为“同源”的来对待

最低0.47元/天 解锁文章
你不知道的iframe
liuhao9999的博客
11-18 877
每个嵌入的浏览上下文(embedded browsing context)都有自己的会话历史记录(session history)和DOM树。包含嵌入内容的浏览上下文称为父级浏览上下文。顶级浏览上下文(没有父级)通常是由Window对象表示的浏览器窗口。 页面上的每个<iframe>都需要增加内存和其它计算资源,这是因为每个浏览上下文都拥有完整的文档环境。虽然理论上来说你能够在代码中写出来无限多的<iframe>,但是你最好还是先看看这么做会不会导致某些性能问题。 属性 该..
浏览器跨标签页通信的方式都有什么?
w807139809的博客
11-23 995
浏览器跨标签页通信的方式
跨窗口通信
Dylan666d的博客
01-26 362
postMessage 接口允许窗口之间相互通信,无论它们来自什么源。 因此,这是解决“同源”策略的方式之一。它允许来自于 john-smith.com 的窗口与来自于 gmail.com 的窗口进行通信,并交换信息,但前提是它们双方必须均同意并调用相应的 JavaScript 函数。这可以保护用户的安全。 这个接口有两个部分。 postMessage 想要发送消息的窗口需要调用接收窗口的 postMessage 方法。换句话说,如果我们想把消息发送给 win,我们应该调用 win.postMessage(
JavaScript 跨窗口通信(Cross-Window Communication)
爱蹦跶的全栈大A阿
02-08 1877
在现代 Web 开发中,跨窗口通信是一种常见需求。它允许在不同的窗口或框架之间传递数据和消息,从而实现各种功能。本章将介绍如何在 JavaScript 中实现跨窗口通信跨窗口通信的常见场景跨窗口通信的不同方法每种方法的优缺点如何选择合适的跨窗口通信方法​跨窗口通信是 Web 开发中常见需求,有多种方法可以实现。每种方法都有其优缺点,选择哪种方法取决于具体的应用场景。如果需要在父子窗口之间通信,可以使用。如果需要在任意窗口或框架之间通信,可以使用。如果需要共享数据,可以使用或。
跨域和跨窗口通信
weiyangxiaoping的博客
05-14 469
同源政策:协议相同,端口号相同,域名相同 不同源限制: 1.cookie,localstroge,indexDB不能访问 2.DOM(Iframe不同窗口不能访问到dom) 3.Ajax不能请求 规避方法: 1.跨域窗口通信: 片段识别符(通过改变子窗口的hash值,把信息放到hash值上,然后子窗口会监听到onhashchange事件可以通信,子窗口也可以通过parent.location.h
delphi 调用浏览器内核_深入理解浏览器原理
weixin_39942726的博客
11-06 1135
导语:本文从市面主流的浏览器及相应的内核引擎开始,介绍了Chromium为代表的浏览器架构及Blink内核的功能架构。Chromium为多进程架构,用户从启动运行浏览器后,先后经过页面导航、渲染、资源加载、样式计算、布局、绘制、合成到栅格化,最后完成GPU展示。而页面渲染完成后,浏览器如何响应页面操作事件也进行了深入的介绍。良心推荐!本文第二至五部分内容根据 Mariko Kosaka ...
基于官方规范系列篇之——HTML 篇(七)iframe
最新发布
weixin_44168130的博客
12-19 1050
本文介绍了大名鼎鼎的 iframe,介绍了其基本使用,包括 src、srcdoc、loading 属性、sandbox 属性、allow 属性等。还扩充了一下 iframe 内部跳转链接,介绍了为何业界普遍不采用 iframe 作为微前端解决方案的原因之一。
JavaScript实现动态调整iframe高度的方法
此外,还应该对iframe嵌入的内容进行合适的样式控制,避免内容显示不全或样式冲突等问题。 总结以上,动态调整iframe高度是一个看似简单但实际上涉及许多细节和技巧的问题。掌握正确的JavaScript方法和理解浏览器的...
Vue3 跨标签页或跨窗口通信
默存
10-24 1017
在 Vue 应用中,跨标签页或跨窗口通信通常涉及到两个或多个浏览器标签页之间的信息共享。由于每个标签页或窗口都是独立的 JavaScript 执行环境,它们不能直接通过 Vue 或其他 JavaScript 库来直接相互通信。但是,有一些方法可以实现这种跨标签页的通信,主要依靠浏览器提供的 Web API。
基于postMessage和BroadcastChannel实现浏览器跨Tab窗口通信的方法介绍
在这里,我乐于倾囊相授,分享我的技术心得、项目实战经验、技术技巧。希望能够惠及更多的开发者,助力大家在技术的海洋中扬帆远航。
02-20 2770
基于 BroadcastChannel,就可以实现每个 Tab 内的核心信息互传, 再基于这些信息去完成我们想要的动画、交互等效果。Broadcast Channel 与 window.postMessage 都能进行跨页面通信Broadcast Channel 只能用于同源页面之间进行通信,而window.postMessage可以任何页面之间通信基于 Broadcast Channel 的同源策略,它无法完成跨域的数据传输;跨域的情况,我们只能使用window.postMessage 来处理。
浏览器跨 Tab 窗口通信原理及应用实践
奇舞周刊
12-06 320
最近,相信大家一定被这么个动效给刷屏了:以至于,基于这个效果的二次创作层出不穷,眼花缭乱。基于跨窗口通信的弹弹球:基于跨窗口通信的 Flippy Bird:我也尝试制作了一个跨 Tab 窗口的 CSS 动画联动,效果如下:代码不多,核心代码 200 行,感兴趣的可以戳这里:Github - broadcastAnimation[1]当然,本文的核心不是去一一剖析上面的效果具体的实现方式,而是讲讲其...
跨窗口通信的几种方法
甘焕的博客
07-15 4976
推荐几种在浏览器跨窗口通信的几种方法,并比较其优劣。
前端基础(三十八):iframe通信浏览器跨窗口通信
You瞧谁不起 - 道不尽世间的沧桑,诉不完人生的悲凉
01-22 1310
iframe通信浏览器跨窗口通信
1. 浏览器跨 Tab 窗口通信原理
LBJ辉的前端天地
02-23 1572
浏览器跨 Tab 窗口通信原理
如何解决跨页面之间的通信问题
weixin_42538281的博客
06-30 432
项目中遇到在新标签页打开一个页面的问题,这时候 新老页面,如果需要数据传输,就可以通过H5 的新特性,postMessage 进行解决,在原页面 const a = window.open(‘qqq’) a.postMessage(‘发送个数据:A’, ‘*’) 在新的页面,监听 document.addEventLIstener(‘message’, ()=>{ Console.log(‘接收到数据A’) }) ...
浏览器页面安全-同源策略【安全篇】
问白的博客
03-26 1202
为了让我们的页面变得更加安全,浏览器会使用 同源策略隔离不同源的DOM、网络数据、和网络通信。但我们在实际开发应用中对于上述的场景都有实际的需要,所以就需要再安全性和便利性之间取得一个平衡。既要保障安全,也要保障一定的灵活性。两个不同源的DOM之间也是不能相互通信 / 操纵的,于是在此之上引入了夸文档消息通信机制。让其可以比较安全的通信页面中可以引用第三方资源,由此而导致的很多诸如XSS之类的问题可以通过CSP来限制。
什么是同源???跨域错误???如何解决???
wxiao_xiao_miao的博客
09-19 1616
同源:指发出请求所在的页面 与 所请求的资源的url协议相同,域名相同,端口相同。 跨域错误:指不同源的ajax请求。 浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件时,就会出现跨域问题,从而导致ajax请求失败: (1)请求响应双方url不同源。 从http://127.0.0.1:5500/message_front/index.html 请求http://localhost:8080/getmsg 就是不同源的 。 (2)请求类型是xhr请求。就是常说的ajax请求。不.
同源和跨域
xihuanLilia的博客
03-08 6430
同源和跨域同源同源策略跨域浏览器对跨域请求的拦截如何实现跨域数据请求 同源 同源指的是 两个页面的协议,域名和端口都相同 那么这两个页面具有相同的源 协议指的是 http,https(目前用的最多的) 还有文件协议file:// 域名指的是例如 baidu.com 之类的 域名是需要购买的 端口号指的是域名后面的 ‘:+数字’ http的默认值是80 https的默认值是443 同源策略 同源策略指的是浏览器提供的一个安全功能 MDN0官方给的概念是 同源策略限制了从同一个源加载的文档或者是脚本如何与来自另
理解浏览器同源策略:原理、IE特性和跨域通信
在本节中,我们将深入探讨浏览器同源策略,这是Web开发中的一项关键安全概念。同源策略(Same-origin Policy, SOP)是Web浏览器内置的一组规则,旨在防止跨域资源共享(Cross-Origin Resource Sharing, CORS)时的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你脸上有BUG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值