前端网络安全必修 1 同源策略和CSRF

最新推荐文章于 2025-10-15 17:57:14 发布
原创 最新推荐文章于 2025-10-15 17:57:14 发布 · 1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #web安全 #csrf #网络攻击 #服务器 #安全 #网络安全

本文详细解释了同源策略(SOP)、跨站请求伪造(CSRF)和跨域资源共享(CORS)的概念,讨论了它们在实际应用中的作用和限制,以及如何通过JSONP、CORS配置和token验证来防范CSRF。同时介绍了CORS在处理跨域请求时的角色和安全性措施。

本文主要涉及三个关键词:

  • 同源策略(Same-origin policy,简称 SOP)
  • 跨站请求伪造(Cross-site request forgery,简称 CSRF)
  • 跨域资源共享(Cross-Origin Resource Sharing,简称 CORS)

同源策略 SOP

同源

先解释何为同源:协议、域名、端口都一样,就是同源。

url 同源
niconico.com 基准
niconico.com/spirit o
sub.niconico.com/spirit x
niconico.com/spirit x
niconico.com:8080/spirit x

限制

你之所以会遇到 跨域问题,正是因为 SOP 的各种限制。但是具体来说限制了什么呢?

如果你说 SOP 就是“限制非同源资源的获取”,这不对,最简单的例子是引用图片、css、js 文件等资源的时候就允许跨域。

如果你说 SOP 就是“禁止跨域请求”,这也不对,本质上 SOP 并不是禁止跨域请求,而是在请求后拦截了请求的回应。这就就会引起后面说到的 CSRF

其实 SOP 不是单一的定义,而是在不同情况下有不同的解释:

  • 限制 cookies、DOM 和 Javascript 的命名区域
  • 限制 iframe、图片等各种资源的内容操作
  • 限制 ajax 请求,准确来说是限制操作 ajax 响应结果,本质上跟上一条是一样的

下面是 3 个在实际应用中会遇到的例子:

  • 使用 ajax 请求其他跨域 API,最常见的情况,前端新手噩梦
  • iframe 与父页面交流,出现率比较低,而且解决方法也好懂
  • 对跨域图片(例如来源于 <img> )进行操作,在 canvas 操作图片的时候会遇到这个问题

如果没有了 SOP:

  • 一个浏览器打开几个 tab,数据就泄露了
  • 你用 iframe 打开一个银行网站,你可以肆意读取网站的内容,就能获取用户输入的内容
  • 更加肆意地进行 CSRF

绕过跨域

SOP 带来安全,同时也会带来一定程度的麻烦,因为有时候就是有跨域的需求。绕过跨域的方案由于篇幅所限,并且网上也很多相关文章,所以不在这里展开解决跨域的方案,只给出几个关键词:

对于 ajax

  • 使用 JSONP
  • 后端进行 CORS 配置
  • 后端反向代理

对于 iframe

  • 使用 location.hash 或 window
最低0.47元/天 解锁文章
漫谈同源策略(SOP)跨域资源共享(CORS)
IerkeU的博客
04-22 4517
漫谈.....
前端安全防护实战:XSS、CSRF防御同源策略详解(react 案例)
qq_35374791的博客
05-03 2022
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 2453
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
前端面试必问:一文搞懂同源策略是什么、作用及解决方案,轻松应对跨域问题
最新发布
u010544438的博客
10-15 927
Jsonp(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。要想了解jsonp的原理,首先一定要明白script标签的src属性做了什么事情</'.box'css'red'</src属性会给服务器发送请求,请求一个js文件浏览器会解析执行这个js文件里的代码jsonp的基本原理,主要就是利用了script标签的src没有跨域限制来完成的。因为js调用(实际上是所有拥有src。
前端同源策略
liouswll的博客
06-14 826
同源:协议相同,域名相同,端口相同同源策略:为了保护用户信息安全,防止恶意的网络窃取数据。非同源限制:1.cookie ocalstorage indexDB无法获取2.DOM无法获得3.AJAX请求不能发送http://www.example.com/dir/page.html个网址中,协议是http://,域名是www.example.com,端口号是80...
前端网络之同源策略
爱前端的程序媛的博客
03-14 885
同源策略及其解决方案
前端安全必修课】:探讨iframe跨域限制下的URL访问与解决方案
![js实现ifram取父窗口URL地址的方法]...本文首先概述了前端安全的重要性跨域问题的基本概念,随后深入探讨了iframe跨域限制的原理及技术细节,并提供了实践中的解决方案,包括CORS策略、代理服务器
前端安全防护】:防止悬浮菜单脚本注入的5大策略
本文全面探讨了前端安全领域的主要策略挑战,包括脚本注入攻击的理解、内容安全策略(CSP)的原理与实施、严格的跨站脚本攻击(XSS)过滤技术、避免动态内容执行的安全实践以及用户输入的有效处理验证方法。...
跨域问题终极解决方案:C#服务器如何完美处理CORS请求(前端后端必修课)
结合实际开发场景,文章探讨了常见跨域问题的调试方法与配置技巧,并研究了CORS与安全机制(如CSRF防护、JWT身份验证)的整合策略。此外,本文还针对微服务架构前后端分离项目的部署需求,提出了多环境配置、性能...
CRSF安全检测必修课:防御漏洞的6大实用技巧
[CRSF安全检测必修课:防御漏洞的6大实用技巧](https://img-blog.csdnimg.cn/direct/439f537e203d4acfb076f8c09ce0eaf0.png) 参考资源链接:[CRSF数据协议详解:遥控器与ELRS通信的核心技术]...
前端扫雷之同源策略
yushenxin的博客
03-24 427
参考链接:浏览器同源政策及其规避方法 浏览器的同源策略什么是同源策略W3上是这么解释的: documents retrieved from distinct origins are isolated from each other.直译就是不同源文档的访问是隔离的。 MDN上是这么解释的:同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。对于本地请求 禁止访问(the use
前端人员都懂的浏览器的同源策略,以及如何进行不同源间的相互访问
青颜的天空的博客
03-11 1467
引言 作为前端开发人员,你要是连同源策略都不知道是什么,那就太说不过去了。本篇文章将讲述同源策略的定义, 以及当我们需要克服同源策略,如何进行跨域访问数据的方法。 一、同源策略的定义 同源策略: 浏览器自带的一种安全策略,他是指协议、域名、 端口 三个都相同的才能互相访问,即若协议、域名、端口有一个不相同时,浏览器禁止页面加载或执行与自身不同域的脚本。 那既然有同源的概念,那必定有不同源的概念,接下来我们来看一个组例子, 理解一下什么是同源,什么是不同源。 url 是否同源(以及原因) .
前端同源策略跨域问题解决方法
路漫漫其修远兮,吾将上下而求索。
09-20 2228
1.跨域问题 原因:浏览器的同源策略导致了跨域。详情请点击 同源策略存在必要性:浅谈CSRF攻击 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 JSONP 原理: 在HTML标签里,一些标签比如script,img这样的获取资源的标签是没有跨域限制的。 动态插入script标签,通过script标签引入一个js文件,这...
【HTTP完全注解】CSRF攻击?同源策略会出手的
汪啊汪
03-12 502
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用Web应用程序中的信任关系的攻击方式,攻击者通过某些方式(例如社交媒体、广告等)诱骗受害者访问恶意网站,恶意网站利用受害者在其他网站已登录的身份信息隐式发送敏感操作的请求,由于该受害者已登录该网站因此该请求则会自动携带该用户的身份信息,由于身份信息正确服务器也会执行相应的敏感操作,这样受害者在访问浏览恶意网站时并不需要任何操作,神不知鬼不觉的情况下就被攻击了,执行了恶意操作。这样,只有被授权的域名才能够进行跨源访问。
前端同源策略跨域详解
mkbird的博客
09-24 1762
webcoket作为一种常用于实时聊天的协议,本身就不存在跨域问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端服务器中间使用一个代理服务器,代理服务器客户端同源,代理服务器服务器进行数据交互,这样就实现了跨域。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
前端基础入门三大核心之HTML篇 —— 同源策略的深度解析与安全实践
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 1109
同源策略(Same-origin policy)是一种约定,由Netscape公司于1995年引入,旨在防止不同源的网页之间相互干扰恶意操作。简而言之,该策略规定了浏览器允许脚本访问的资源范围,仅限于与当前网页同源的资源。所谓“同源”,指的是协议、域名端口号完全相同。同源策略作为Web安全的基石,其重要性不言而喻。然而,在日益复杂的Web应用环境中,灵活而安全地处理跨域通信成为了前端开发者必备的技能。
前端学习——网络相关】浏览器同源策略跨域
Everglowwwwww的博客
05-03 936
帮助阻隔恶意文档,减少可能被攻击的媒介。(就是为了。
前端同源策略 跨域请求问题详解
qq_41867900的博客
10-17 2654
在本文中,将阅读到的内容有 同源策略 JSONP CORS 1. 同源策略 本小节内容 1.1 同源策略 1.2 同源策略存在的意义目的 1.1 同源策略 浏览器的安全策略当中有一个重要的策略叫做同源策略。它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。 首先要明白同源的定义是什么? 如果两个URL的**协议(protocol)、域名(domain)端口(port)**都相同的话,这两个URL就是同源的。 与 URL.
【网络基础】初级前端需要掌握知识,什么是同源策略与跨域,如何解决跨域问题
庞囧的博客
04-24 572
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。跨域请求其实是非常常见的,比如一些网站下面有很多子域,同是一家人还不能访问就很离谱,于是出现了很多解决跨域问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值