同源策略
来源:互联网 发布:新疆棉花加工数据 编辑:程序博客网 时间:2024/06/18 08:35
1 含义
一个域内的脚本仅仅具有本域内的权限,可以理解为本域脚本只能读写本域内的资源,而无法访问其它域的资源。这种安全限制称为同源策略。
例如img script style等标签,都允许垮域引用资源,严格说这都是不符合同源要求的。然而,你也只能是引用这些资源而已,并不能读取这些资源的内容,
1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源"。
所谓"同源"指的是"三个相同"。 协议相同 域名相同 端口相同。
举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。
它的同源情况如下。
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
2 目的
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
设想这样一种情况:A网站是一家银行,用户登录以后,又去浏览其他网站。如果其他网站可以读取A网站的 Cookie,会发生什么?很显然,如果 Cookie 包含隐私(比如存款总额),这些信息就会泄漏。更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源政策的限制。
由此可见,"同源政策"是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了。
3.限制范围随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制。
(1) Cookie、LocalStorage 和 IndexDB 无法读取。
(2) DOM 无法获得。
(3) AJAX 请求不能发送。
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- 同源策略
- HDU2481:Toy(Burnside)
- Codeforces 864E Fire (DP)
- Codeforces Round #436 (Div. 2)
- 两个栈实现队列
- C语言宏的高级用法
- 同源策略
- [BZOJ 3098] Hash Killer II
- C++ 重载 重写与重定义
- C内存对齐
- Java开发环境配置
- 本地yum仓库的安装配置 两种方式
- Qt 学习之路 2(34):贪吃蛇游戏(4)
- Django入门-6:视图-HttpReqeust对象
- Django学习(七)(模板进阶)