浏览器同源策略及Cookie的作用域

本文介绍浏览器的同源策略及其目的,并解释了非同源情况下的限制及跨域访问问题。此外,还详细说明了Cookie的作用域,包括如何通过Domain和Path属性指定Cookie的有效范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。


一、    浏览器同源策略


1.1   概述

       1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同":

  


  举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下:

  


1.2   目的

  同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

  很显然,如果 Cookie包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。由此可见,"同源政策"是必需的,否则Cookie 可以共享,互联网就毫无安全可言了。


1.3   限制范围

  随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制:

  

  虽然这些限制是必要的,但是有时很不方便,合理的用途也受到影响。例如,我同一个站点的两个不同域名不能共享Cookie;再例如,我的前端页面项目的域名与我后端Jetty服务的域名不同,那么我就无法发送Ajax请求来访问Jetty服务,等等。

  也就是说同源策略会带来一系列跨域访问的问题,之后的文章我们会介绍如何来规避这些问题,主要介绍JSONP与CORS两种方案。


二、    Cookie作用域


  2.1   Cookie概述

  Cookie,顾名思义,小甜心,少食即可,多吃无益。主要是通过浏览器保存在客户端的一些安全性要求不高的临时数据。


  2.2   Cookie两个重要属性

  Cookie有两个很重要的属性:Domain和Path,用来指示此Cookie的作用域:

  Domain告诉浏览器当前要添加的Cookie的域名归属,如果没有明确指明则默认为当前域名,比如通过访问www.vinceruan.info添加的Cookie的域名默认就是www.vinceruan.info,通过访问blog.vinceruan.info所生成的Cookie的域名就是blog.vinceruan.info。

  Path告诉浏览器当前要添加的Cookie的路径归属,如果没有明确指明则默认为当前路径,比如通过访问www.vinceruan.info/java/hotspot.html添加的Cookie的默认路径就是/java/,通过blog.vinceruan.info/java/hotspot.html生成的Cookie的路径也是/java/。


  2.3   Cookie作用域

  浏览器提交的Cookie需要满足以下两点: 1.当前域名或者父域名下的Cookie;2.当前路径或父路径下的Cookie。要满足以上两个条件的Cookie才会被提交。举个例子:有4个Cookie:

  


  当我访问blog.vinceruan.info时:

  

 

  这里需要注意的是, 在浏览器看来. www.vinceruan.info不是blog.vinceruan.info的父域名,而vinceruan.info才是blog.vinceruan.info的父域名, www.vinceruan.info也算是一个二级域名(这点如果你提交过域名到DNS服务器商的应该会知道,一般我们需要显式提交www.vinceruan.info和vinceruan.info, 否则www.vinceruan.info==vinceruan.info是不成立的).

  所以如果我们需要在所有二级域名下共享islogin=1的Cookie,用java代码如下:

  


       如果要在所有的二级域名下的/java/路径下共享silogin=1的Cookie,用java代码如下:

  


三、    总结


       上面介绍了浏览器具有同源策略:协议相同、域名相同、端口相同,而由此也带来了一系列的跨域资源访问问题。还介绍了浏览器筛选Cookie并提交到服务器的规则:当前域名或者父域名下的并且是当前路径或父路径下的Cookie才会被提交到服务器。

<think>我们正在讨论浏览器同源策略中域名相同的判定标准。根据引用[4]和[5],同源策略要求协议、域名、端口号完全相同。这里的“域名”是指完整的域名(包括所有层级),而不仅仅是顶级域名或二级域名。具体来说,引用[4]指出:“同源策略浏览器的一项安全策略,要求不同域之间在一些关键属性(协议、域名、端口号)上相同,才被认为是同源。因此,https://example.com和https://sub.example.com就属于不同源”。这表明,即使顶级域名相同(都是example.com),但二级域名不同(一个是example.com,另一个是sub.example.com),也会被视为不同源。引用[5]也提到,同源策略限制的三个行为需要协议、域名、端口完全相同。其中域名部分,它举的例子中域名是www.example.com,这是一个完整的域名(二级域名)。因此,同源策略中的“域名相同”是指完整的域名(包括二级、三级等)必须相同,而不仅仅是顶级域名(一级域名)相同。总结:-同源策略要求协议、域名、端口完全相同。-域名部分要求完全一致,即完整的域名(如www.example.com和example.com是不同的,因为前者是二级域名,后者通常被视为一级域名,但实际在域名系统中example.com是二级域名,但同源策略比较的是整个字符串)。-例如:-http://example.com和http://www.example.com不同源(域名不同)-http://example.com和https://example.com不同源(协议不同)-http://example.com:80和http://example.com:8080不同源(端口不同)注意:在域名比较时,浏览器不会自动解析域名的层级关系,而是直接比较整个域名字符串。所以,即使两个域名在逻辑上有父子关系(如a.example.com和example.com),只要字符串不完全相同,就视为不同源。但是,有一种特殊情况:通过设置document.domain可以放宽同源策略的限制。引用[3]提到:“只要把http://www.a.com/parent.html和http://b.a.com/child.html这两个页面的document.domain都设成相同的域名,那么父子页面之间就可以进行跨域通信了,同时还可以共享cookie。”这里,它们将document.domain都设置为'a.com'(注意:这要求两个页面的一级域名相同),从而实现了跨域通信。但请注意,这种方法只适用于一级域名相同的情况,且只能将document.domain设置为当前域名的一级域名(或更高级的域名,但通常只能设置为当前域名的一级域名)。同时,这种方法现在已经被认为是不安全的,现代浏览器可能会限制其使用(如不允许设置为不同的一级域名,且只能设置为当前域名或其父域)。所以,严格来说,同源策略默认要求完整的域名相同(包括所有子域)。但通过设置document.domain,可以让具有相同一级域名的不同子域之间实现跨域通信(但需要双方都设置document.domain为相同的一级域名)。结论:浏览器同源策略默认判定域名相同的标准是完整的域名(包括二级、三级等)必须完全相同。仅一级域名相同而子域不同,则视为不同源。</think>### 浏览器同源策略中域名相同的判定标准 浏览器同源策略的域名判定遵循**完整主机名(host)精确匹配原则**,既不是一级域名相同,也不是二级域名相同,而是要求**完整的域名完全相同**。以下是关键解析: #### 1. **同源策略的核心三要素** 同源策略要求以下三者必须完全一致: - **协议**(如 http/https) - **端口号**(显式或默认端口) - **完整域名**(包括所有层级) > "同源策略要求不同域之间在协议、域名、端口号上完全相同"[^4] #### 2. **域名判定规则** | 场景示例 | 是否同源 | 原因分析 | |------------------------------|----------|----------| | `https://example.com` 与 `https://example.com` | ✔️ 同源 | 完全相同的完整域名 | | `https://example.com` 与 `https://www.example.com` | ❌ 不同源 | `example.com` ≠ `www.example.com`[^4] | | `http://sub.example.com` 与 `http://sub2.example.com` | ❌ 不同源 | 二级域名不同 | | `http://a.example.com` 与 `http://b.example.com` | ❌ 不同源 | 三级域名不同 | #### 3. **特例:通过`document.domain`降域** 虽然默认要求完整域名相同,但可通过技术手段实现**一级域名相同**的站点间通信: ```javascript // 在 a.example.com 和 b.example.com 的页面中同时设置 document.domain = "example.com"; ``` > "把 http://www.a.com/parent.html 和 http://b.a.com/child.html 的 document.domain 都设成相同的域名,父子页面可跨域通信"[^3] #### 4. **实际影响案例** - **Cookie 作用域**: `site.com` 设置的 Cookie 默认不会发送到 `sub.site.com` - **AJAX 请求限制**: `api.example.com` 无法直接向 `app.example.com` 发送请求 - **iframe 通信**: 嵌套 `https://shop.example.com` 的 `https://pay.example.com` 页面无法直接访问父窗口 DOM #### 5. **与其他网络概念的区别** | 概念 | 比较层级 | 示例说明 | |--------------|------------------------|----------| | 同源策略 | 完整主机名 | `blog.site.com` ≠ `help.site.com` | | Cookie 作用域| 可设置一级域名 | `.site.com` 的 Cookie 可共享给所有子域 | | SSL 证书 | 支持通配符域名 (*.site.com) | 覆盖所有二级域名 | ### 总结 浏览器同源策略严格执行**完整域名精确匹配**: 1. 仅一级域名相同(如 `a.example.com` 和 `b.example.com`)**不满足同源要求** 2. 必须协议、端口、完整主机名三者完全一致 3. 通过 `document.domain` 可放宽到一级域名相同的站点间通信 4. 实际开发中需注意子域名差异导致的跨域问题 > "http://www.example.com/dir/page.html 的域名是 www.example.com,端口是80(默认端口可省略)"[^5]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值