浏览器同源策略及Cookie的作用域

最新推荐文章于 2025-05-26 10:56:20 发布
最新推荐文章于 2025-05-26 10:56:20 发布
阅读量1.1w 收藏 33
点赞数 11
CC 4.0 BY-SA版权
分类专栏: 【HTTP】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wang379275614/article/details/53333054
本文介绍浏览器的同源策略及其目的,并解释了非同源情况下的限制及跨域访问问题。此外,还详细说明了Cookie的作用域,包括如何通过Domain和Path属性指定Cookie的有效范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。


一、    浏览器同源策略


1.1   概述

       1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。所谓"同源"指的是"三个相同":

  


  举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下:

  


1.2   目的

  同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?

  很显然,如果 Cookie包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。由此可见,"同源政策"是必需的,否则Cookie 可以共享,互联网就毫无安全可言了。


1.3   限制范围

  随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制:

  

  虽然这些限制是必要的,但是有时很不方便,合理的用途也受到影响。例如,我同一个站点的两个不同域名不能共享Cookie;再例如,我的前端页面项目的域名与我后端Jetty服务的域名不同,那么我就无法发送Ajax请求来访问Jetty服务,等等。

  也就是说同源策略会带来一系列跨域访问的问题,之后的文章我们会介绍如何来规避这些问题,主要介绍JSONP与CORS两种方案。


二、    Cookie作用域


  2.1   Cookie概述

  Cookie,顾名思义,小甜心,少食即可,多吃无益。主要是通过浏览器保存在客户端的一些安全性要求不高的临时数据。


  2.2   Cookie两个重要属性

  Cookie有两个很重要的属性:Domain和Path,用来指示此Cookie的作用域:

  Domain告诉浏览器当前要添加的Cookie的域名归属,如果没有明确指明则默认为当前域名,比如通过访问www.vinceruan.info添加的Cookie的域名默认就是www.vinceruan.info,通过访问blog.vinceruan.info所生成的Cookie的域名就是blog.vinceruan.info。

  Path告诉浏览器当前要添加的Cookie的路径归属,如果没有明确指明则默认为当前路径,比如通过访问www.vinceruan.info/java/hotspot.html添加的Cookie的默认路径就是/java/,通过blog.vinceruan.info/java/hotspot.html生成的Cookie的路径也是/java/。


  2.3   Cookie作用域

  浏览器提交的Cookie需要满足以下两点: 1.当前域名或者父域名下的Cookie;2.当前路径或父路径下的Cookie。要满足以上两个条件的Cookie才会被提交。举个例子:有4个Cookie:

  


  当我访问blog.vinceruan.info时:

  

 

  这里需要注意的是, 在浏览器看来. www.vinceruan.info不是blog.vinceruan.info的父域名,而vinceruan.info才是blog.vinceruan.info的父域名, www.vinceruan.info也算是一个二级域名(这点如果你提交过域名到DNS服务器商的应该会知道,一般我们需要显式提交www.vinceruan.info和vinceruan.info, 否则www.vinceruan.info==vinceruan.info是不成立的).

  所以如果我们需要在所有二级域名下共享islogin=1的Cookie,用java代码如下:

  


       如果要在所有的二级域名下的/java/路径下共享silogin=1的Cookie,用java代码如下:

  


三、    总结


       上面介绍了浏览器具有同源策略:协议相同、域名相同、端口相同,而由此也带来了一系列的跨域资源访问问题。还介绍了浏览器筛选Cookie并提交到服务器的规则:当前域名或者父域名下的并且是当前路径或父路径下的Cookie才会被提交到服务器。

二十四:浏览器为什么要有同源策略
W楠的博客
11-26 149
同源策略是一种浏览器的安全机制,用于限制不同源(origin)之间的交互。具体来说,同源策略要求,只有在协议、域名、端口三者完全相同的情况下,才能允许网页之间的资源共享和访问。简单来说,如果两个网页的“源”不同,它们就不能互相访问对方的资源(如DOM、Cookies、LocalStorage等)。协议https://与http://是不同的协议。域名和是不同的域。端口与是不同的端口。
服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器同源策略 同源策略:当访问同一域名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树
LIHAO的博客
04-19 3238
文章目录Web安全2.3:CSP安全策略:一、CSP:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2)我们这次只注释掉header:(3)两段CSP代码都不注释:3、CSP完整命令:二、Cookie安全:三、Session: Web安全2.3:CSP安全策略: 一、CSP: 浏览器是XSS等前端攻击的战场,有些浏览器附带一些安全策略,包含自带的XSS过滤、同源...
Cookie作用域
kky2010_110的专栏
10-29 2万+
 Cookie作用域:Domain为设置Cookie的有效域,Path限制有效路径_ASp.netCookie作用域     Cookie可以说是我学习Web开发最早接触的几个概念之一了,本以为Cookie的使用对我来说应该毫无问题,但前端时间SSO的开发又给我上了一课,再一次让我经历了 “入门-精通-陌生-熟悉” 的过程。   以前对于Cookie的认识仅局限于Cookie是个在客户
什么是 Cookie?一文看懂网页是怎么“记住你”的
moppol的博客
05-26 1688
Cookie:互联网的“记忆便签”》 Cookie是网站存储在浏览器中的小段文本数据,用于记录用户状态和偏好(如登录信息、语言设置)。其工作原理是:首次访问时服务器通过Set-Cookie指令写入数据,后续请求时浏览器自动回传。Cookie分为会话型(关闭浏览器失效)和持久型(设定期限),可存储4KB以内的键值对,但存在隐私风险——第三方Cookie常被用于广告追踪。与LocalStorage(5MB本地存储)不同,Cookie会随请求自动发送至服务器。当前GDPR等法律要求网站需获用户同意才能使用追踪型
Cookie同源策略
Nanki_的博客
01-19 1056
同源策略(Same-OriginPolicy)是浏览器安全机制的一部分,用于限制一个源(域名、协议和端口的组合)的文档或脚本如何与来自另一个源的资源进行交互。这个策略帮助防止潜在的恶意网站在用户浏览器中执行恶意操作。
COOKIE作用域
wang78699425的专栏
11-07 2316
cookie的两个重要属性是生存周期和路径。不同的应用共享同一个cookie,路径最易出问题。不同目录的不同应用,只有在设置相同的的cookie路径,才能正确共享同一cookie。 以下内容摘自互联网: js操作cookie作用域。默认情况下js操作cookie作用域是目录级的,也就是在当前目录下设置的cookie,当前目录及该目录下的所有子目录下的所有文件都能够访问该cookie,设置c
同源策略以及cookie安全策略
08-29
综上所述,同源策略Cookie安全策略、Flash安全策略以及Web认证方式都在一定程度上存在安全隐患,而P3P标准的实施虽然旨在保护用户隐私,也可能产生副作用。为了增强Web应用的安全性,开发者需要了解并合理利用这些...
同源策略与跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
cookie 及其作用域
佳佳的博客
03-07 1万+
JavaScript Cookies转载自:http://www.w3school.com.cn/js/js_cookies.asp什么是cookie? cookie 用来识别用户。 cookie 是存储于访问者的计算机中的变量。每当同一台计算机通过浏览器请求某个页面时,就会发送这个 cookie。你可以使用 JavaScript 来创建和取回 cookie 的值。有关cookie的例子: 名字 c
Cookie作用域
weixin_63681863的博客
09-18 1134
不同浏览器之间:Cookies 是独立存储的,不会共享。同一个浏览器内:同一个域名下可以共享 Cookies,但必须遵循同源策略。不同协议、端口或子域名的页面可能无法共享 Cookies,除非明确设置了Domain和Path。
cookie作用域
betterangela的博客
10-13 4551
cookie作用域 cookie有一个很重要的概念,就是cookie作用域。 1.首先,cookie作用域为当前域及其子域。2.那发起http请求时,浏览器能传过去的是种在自己域和父域上的cookie。 即,假设发起请求的域名是a.qq.com,那如果cookie-xxx是种在qq.com域上的,则该cookie就可以被a.qq.com或者b.qq.com或者qq.com发起的请求所使用; 等于是说发起请求时,能拿到的是自己域和父域上的cookie。 这就是为什么我们首先要去qq站或者woa
从头到尾讲讲 cookie同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 3675
cookie同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
【转】cookie作用域
weixin_33984032的博客
11-06 264
Cookie作用域:Domain为设置Cookie的有效域,Path限制有效路径 Domain为设置Cookie的有效域,Path限制有效路径,如以下几种情况: 1.最大可能的作用域 yourdomain.com所有角落(设置Cookie.Domain = "yourdomain.com",效果为yourdomain.com域下的所有主机的所有位置都可以取到这个Cookie) 2.域...
浏览器同源策略中的域名相同指的是 一级域名相同就算相同 还是二级域名相同才算相同
最新发布
06-18
我们正在讨论浏览器同源策略中域名相同的判定标准。根据引用[4]和[5],同源策略要求协议、域名、端口号完全相同。这里的“域名”是指完整的域名(包括所有层级),而不仅仅是顶级域名或二级域名。具体来说,引用[4]...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值