当前位置:首页 » 《随便一记》 » 正文

同源策略安全锁只出不进,阿蒙?_helgeal的博客

24 人参与  2021年12月29日 15:07  分类 : 《随便一记》  评论

点击全文阅读


同源策略

        限制一个源的文档和js和另一个源的文档和js进行资源交互,是一种必要的安全措施。//是为了防止CSRF攻击--------利用用户的请求发起恶意的攻击

注意

        1.端口:在ie浏览器中未将端口纳入同源策略检测中

        2 授信范围(Trust Zones):两个相互之间高度互信的域名,如公司域名(corporate domains),则不受同源策略限制。

同源源的定义

        如果两个URL的‘协议’,‘域名’,‘端口’相同则被定义为同源,路径是可以不同的。

同源策略是如何阻止跨域请求的?

        客户端发送请求-------被允许

        服务器处理请求-------被允许

        服务器响应请求-------被允许

        浏览器获取响应回来的数据-------被同源策略拦截

同源策略限制不同源的交互

        1 跨域的写操作:比如你想在你的页面中写一个其他网页的链接这明显是被允许的<a href='http://www.xxxxx.com'></a> 大部分情况下都是被允许的

        2 跨域资源嵌入比如说你想在你的网页中直接使用网上的图片,音乐,视频等资源你可以直接写入它的url地址就行了没有必要下载到本地 大部分情况是被允许的

        3 跨域的读操作:比如说你想读取一个你随意打开的网站的数据,一般情况下是无法做到的超级无敌的大哥除外 但常可以通过内嵌资源来巧妙的进行读取访问。比如JSONP

利用JSONP进行跨域的读取

        1 用原生的javascript写一个极简的JSONP:

        document页面 :

        

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <script>
        function json(data) {
            console.log(data);
        }
    </script>
    <script src="json.js"></script>
</body>
</html>

        javascript页面 

json({
    uname: '张三',
    age: 18,
    gender: 'male'
});

        我们使用src属性避开了同源策略的限制,从窗户翻了进来但是要注意的是锁并没有向你打开。如果你试图在network页面当中寻找该资源你会发现你无法在XMLHttpReques的tab被找到而是在js的tab找到它 这就说你你并没有发起ajax请求

        缺点:只能发起GET请求。为什么这么说?当我们看JSONP的源码时会发现它的本质就是创建一个script标签加上src属性和api的地址将script标签插入head标签内。然鹅这种非正规的hack技术是由缺陷的scr只能发起get请求。这也就是为什么jsonp安全问题可以被保证他只能发起get请求无法对服务器端代码或者内容做更改

        其他的库的JSONP

        jQuery用$.ajax()对jsonp进行了封装。其本质是:

        动态的生成script的标签嵌入老head标签内,请求完成后删除创建的script标签。优点:使得页面更加的美观 不会突然的多出几个script标签,使代码的可读性增加。


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/32360.html

同源  请求  策略  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1