目錄
(一)同源策略 1、什么是同源策略
同源策略是一個(gè)重要的安全策略,它用于限制一個(gè)的文檔或者它加載的腳本如何能與另一個(gè)源的資源進(jìn)行交互。它能幫助阻隔惡意文檔,減少可能被攻擊的媒介。
2、源的定義
如果兩個(gè)URL擁有相同的協(xié)議(http、https)、端口和主機(jī),那么這兩個(gè)URL就是同源的。
Demo:
對(duì)于about:blank和:這種特殊的 URL,他們的源應(yīng)當(dāng)是繼承自加載他們的頁(yè)面的源origin沒(méi)有登入頁(yè)面,他們本身并沒(méi)有『源』的概念。
3、目的
同源政策的目的,是為了保證用戶信息的安全,防止惡意的網(wǎng)站竊取數(shù)據(jù)。
Demo:
設(shè)想這樣一種情況:A網(wǎng)站是一家銀行,用戶登錄以后,又去瀏覽其他網(wǎng)站。如果其他網(wǎng)站可以讀取A網(wǎng)站的 ,會(huì)發(fā)生什么?
很顯然,如果 包含隱私(比如存款總額),這些信息就會(huì)泄漏。更可怕的是, 往往用來(lái)保存用戶的登錄狀態(tài),如果用戶沒(méi)有退出登錄,其他網(wǎng)站就可以冒充用戶,為所欲為。因?yàn)闉g覽器同時(shí)還規(guī)定,提交表單不受同源政策的限制。
由此可見(jiàn),”同源政策”是必需的,否則 可以共享,互聯(lián)網(wǎng)就毫無(wú)安全可言了。
4、限制范圍
同源策略限制非同源的三種行為:
5、跨源訪問(wèn)
我們已經(jīng)知道了,瀏覽器會(huì)根據(jù)同源策略允許或拒絕加載某些資源,但是又一個(gè)問(wèn)題由此而生,我們的網(wǎng)站通常會(huì)將靜態(tài)文件(CSS,JS, 圖片)等放置在 CDN 上,那么 CDN 與當(dāng)前域必然是不同源的,但是神奇的是,這些網(wǎng)站可以正常加載出他們需要的資源并展示給用戶origin沒(méi)有登入頁(yè)面,這里為什么又不受同源策略的影響呢?
同源策略控制不同源之間的交互,例如在使用或
標(biāo)簽時(shí)則會(huì)受到同源策略的約束。這些交互通常分為三類:
以下是可能嵌入跨源的資源的一些示例:
(二)具備src的標(biāo)簽