关于同源策略的理解

最新推荐文章于 2025-06-17 10:52:14 发布
最新推荐文章于 2025-06-17 10:52:14 发布
阅读量2.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zzy2210/article/details/88866758

0x00000001.首先让我们明确一下相关概念:

	源:源即是协议、域名和端口号。
		如:https://blog.youkuaiyun.com/zzy2210:8080 就是一个源
	同源:即源相同,源也就是说只要协议、域名、端口号相同便属于同源。
		如:对于https://blog.youkuaiyun.com/zzy2210 
					   http://blog.youkuaiyun.com/zzy2210 		    不同源,因为协议不同
					   https://blog.youkuaiyun.com/zzy2210:1080 不同源,因为端口不同
					   https://blog.youkuaiyun.com/zzy9001			同源
					   https://blog.net/zzy2210					不同源,因为域名不同
	同源策略:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。
	即www.baidu.com下的js脚本在无授权的情况下,读取blog.youkuaiyun.com/zzy2210:8080 是会报错的。

0x00000002 例外的IE

在同源策略,ie 主要有两个不同点:
  • 授信范围:(Trust Zones):两个相互之间高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
  • 端口:IE 未将端口号加入到同源策略的组成部分之中,因此 http://company.com:81/index.htmlhttp://company.com/index.html 属于同源并且不受任何限制。

0x00000003 跨域

以下知识我并未完全掌握,将慢慢补充 
 跨域,是不同源脚本操作其他源下的对象所需要的。
跨域的实现形式有:
	1.降域(双向跨域)document.domain
	同源策略认为域和子域不是同一个域,但是可以通过

document.domain

这个命令来使域与子域同源。
如:
main.com与child.main.com并不同源,
但是在child.main.com中设置document.domain = 'main.com’即之由子域改为主域
2.JSOP跨域(单向跨域)
NULL
3.Ajax跨域(CORS)
NULL
4.window.postMessage(双向跨域)
NULL
5.window.name
NULL
6.location.hash
NULL
7.跨域内嵌的资源
这一点其实是因为页面中的链接、重定向以及表单提交是不会受同源策略限制。
如:

a.<script src="..."></script>标签嵌入脚本。
b.<link rel="stylesheet" href="...">标签嵌入CSS。
c.<img>嵌入图片。
d.<video> 和 <audio>嵌入多媒体资源。
e.<object>, <embed> 和 <applet>的插件。
f.@font-face引入的字体。一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。
g.<frame>和<iframe>载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。
0x00000004 感悟
其实我开始看这个是因为实验室的师傅给的xss学习资料然后来学同源策略,学了个框架与大概后,感觉有点懵逼又好像有些明白。在这里似乎有一种攻击思路但我没能抓住,如果以后抓住了的话,我会尽量将它描述出来并写在这
阴晦
关注
HTTPS加密过程和TLS证书验证
读研功夫
09-17 1454
前言 大家都知道,苹果在2016年WWDC上宣布了关于应用需要强制使用HTTPS的规定。这也算是个好消息吧,虽然开发者们可能需要适配下HTTPS,但是我们的应用可算是披上一个安全的保护罩了。本篇文章就算是笔者在学习HTTPS过程中的一个记录吧。 HTTPS加密过程 最近重新了解了下HTTP和HTTPS: 首先二者都是网络传输协议;HTTPS在传输过程中是可以通过加密来保护数据安全的,以免用户敏感信...
Lync 2010 学习(七),TLS and MTLS for Lync Server 2010
weixin_34241036的博客
10-04 186
TLS:Transport Layer Security ,传输层安全协议 MTLS:Mutual Transport Layer Securit,相互传输层安全协议 OSI七层模型中网络层通过数据包的路由来进行数据包的转发,而作为网络层的上一层传输层则需要保证数据传输的完整性,同时也可以保证数据的安全性等。 TLS:安全传输层协议(TLS)用于在两个通信应用程序...
TLS证书链部署详解:从Let‘s Encrypt到自签证书的完整指南
最新发布
Clownseven的博客
06-17 716
网站提示证书不可信?可能是TLS证书链配置错误!Hostol详解根证书、中间证书,并提供Let's Encrypt、自签证书的完整部署与监控策略。
TLS/HTTPS 证书生成与验证
weixin_34366546的博客
10-17 412
最近在研究基于ssl的传输加密,涉及到了key证书相关的话题,走了不少弯路,现在总结一下做个备忘 科普:TLSSSLHTTPS以及证书 不少人可能听过其中的超过3个名词,但它们究竟有什么关联呢? TLS是传输层安全协议(Transport Layer Security)的缩写,是一种对基于网络的传输的加密协议,可以在受信任的第三方公证基础上做双方的身份认证。TLS可以用在TCP上,...
TLSmTLS: 从网络传输安全到零信任架构
jsjbrdzhh的博客
11-07 3127
真实工程届场景,不做八股小丑 >我们都知道https用了tls/ssl加密通信,那现在mtls慢慢普及或是场景应用,今天就来讲讲 --- 1. 从单向认证到双向认证 ``` TLS (单向认证) - 客户端验证服务器 - 类似:你验证银行身份 mTLS (双向认证) - 客户端和服务器互相验证 - 类似:银行也要验证你的身份 ```
TLS Certificate
凡人的专栏
06-16 543
参考链接: 如何验证数字证书的真伪
HTTPS中的证书验证
嗯...
05-25 1323
转自:https://github.com/lygttpod/RxHttpUtils 验证方式 - 都不验证 验证方式 - 单向认证 - 自定义X509TrustManager 以下,使用本地证书对比服务器证书公钥 验证方式 - 单向认证 - 指定信任证书生成X509TrustManager 验证方式 - 双向认证 - 自定义X509TrustManager + KeyManager 验证方式 - 单向认证 - 指定信任证书生成X509TrustManager + KeyManager 更多 SS
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 2332
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
如何设置相互TLS身份验证
danpob13624的博客
04-06 900
因此,您有了一个管理面板,因为与使用Rails控制台管理应用程序相比,它更容易。 另一方面,这是一个非常敏感的地方。 如果有人获得了访问权限,那将是……不好。 您已经拥有了所有东西:没有保存在电子邮件中的强密码,以及用于整个应用程序和蛮力保护的TLS。 但是,如果您和其他几个人甚至都无法访问管理面板,该怎么办? 一种方法是使其成为Intranet上的内部应用程序。 另一个选择可能...
TLS客户端身份验证
danpu0978的博客
04-26 1537
我决定为电子识别方案设计一个原型,因此我研究了如何使用Java / Spring服务器端进行TLS客户端身份验证(即使您不是Java开发人员,也可以继续阅读-大部分文章是Java -不可知)。 为什么要进行TLS客户端身份验证? 因为这是认证拥有证书的用户(例如,在智能卡上)的最标准方法。 当然,智能卡证书不是唯一的应用程序-组织可以向存储在其计算机上的用户颁发内部证书。 关键是要具有比...
一文读懂SSLTLSmTLS的通信安全协议
stone1290的专栏
09-19 1139
今天让我们深入探讨一下SSLTLSmTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。
TLS1.3双方使用证书身份认证的密钥导出详细过程.docx
11-09
TLS1.3通信中,使用双方数字证书进行身份认证,在一个完整的通信中计算出所有的密钥,在计算每个密钥的过程中,对所用到的输入以及各种条件进行详细地说明,感兴趣的爱好者可以借鉴,希望能对你有所帮助。
hello-mtls:演示各种技术中相互TLS配置的文档
02-05
你好mTLS 该软件包包含有关如何配置多种技术以执行相互TLS的文档。 它是项目的一部分,该项目旨在提高开发人员对公钥基础结构的认识,将其作为常见安全问题的潜在解决方案。 如果您发现任何过时,丢失或错误的文档,强烈建议您提出拉取请求! 贡献 每种技术的文档都位于文件夹中的相应目录中。 要开始进行本地开发,请克隆此存储库并启动本地开发服务器: $ yarn install $ yarn start 您将可以在预览所有更改。 增加新技术 如果要添加新技术,最好的选择是引用此存储库中的现有配置,但这是每个目录内容的高级分类。 config.yaml 该文件配置基本信息,例如技术名称和文档的
SSL证书/TLS证书是什么
热门推荐
donghaixiaolongwang的博客
01-29 1万+
A. SSL协议与TLS是什么?它们的功能是什么? 答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLSSSL的下一代协议。透过它我们可以: 1. 在互联网上传输加密过的资料以达到资安的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明
网络_第六篇:SSL/TLS基础知识
毛毛的专栏
05-10 4992
一、SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer)TLSSSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修
https加解密过程详解和TLS证书验证
happyqyt的专栏
05-16 3729
定义 HTTPS是HTTP over SSL的简称,即工作在SSL上的HTTP,也就是加密通信的HTTP。 工作原理 HTTPS在通信过程中使用的是对称加密,当然,它的密钥是无法直接获取的,因为它的密钥是通过非对称加密进行传输的,中间还有很多复杂的过程,保证密钥是绝对安全的。 先简单看下https的加密过程,如下图: 文字描述一下这个过程,就是:   1.客户端访问 http...
一文详解 HTTPSTLS证书链校验
赶路人儿
11-07 9431
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
一文读懂 HTTPSHTTPS握手与TLS证书链校验
bjxiaxueliang的CODING茶馆
06-23 2607
HTTPS协议详解 从事移动互联网软件开发的小伙伴肯定了解:自Android 9.0开始,应用程序的网络请求默认使用https;基本是同期苹果IOS在应用网络请求方面,也强制使用https禁止http。 这一期间如果你去面试,不了解Https的握手过程,都不好意思讲工资。 本人一个普通程序员,项目期间工期紧张,并未抽出时间详细了解Https网络请求过程中TLS握手过程,因此这件事一直在我的待办记录中… 这篇文章以Wireshark抓包,详细了解Https请求中TLS的握手过程 与 客户端证书校验过程。 H
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值