6、浏览器安全(同源策略-沙箱-拦截)
来源:互联网 发布:销售信心 知乎 编辑:程序博客网 时间:2024/05/01 16:00
Same Origin Policy同源策略是一种约定,是浏览器最核心也是最基本的安全功能,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。
为什么需要同源策略,这里举个例子:
假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。你现在打开了浏览器,在一 个tab窗口中打开了银行网站,在另外一个tab窗口中打开了一个恶意网站,而那个恶意网站挂了一个的专门修改银行信息的JavaScript,当你访问 这个恶意网站并且执行它JavaScript时,你的银行页面就会被这个JavaScript修改,后果会非常严重!而同源策略就为了防止这种事情发生。
浏览器针对js提出了origin源这个概念,来自不同的origin对象无法相互干扰。所谓同源,就是指域名、协议、端口相同。假设JavaScript1和JavaScript3是属于百度的脚本,而 JavaScript2是属于谷歌的脚本,tab1只能执行JavaScript1和JavaScript3脚本,而不能执行JavaScript2,从而防止其他网页对本网页的非法篡改。
在浏览器中,<script>、<img>、<iframe>、<link>等标签都可以跨域或加载资源,而不受同源策略的限制,这些带"src"属性的标签每次加载时,实际上是由浏览器发起了一次get请求,不同于XMLHttpRequest的是,通过src属性加载时,浏览器限制了javascript的权限,使其不能读、写返回的内容。
对于<ajax>XMLHttpRequest它可以访问来自同源对象的内容,但受到同源策略的约束,不能跨域访问资源。
<现在有开放ajax对跨域请求的开放,请求目标或返回头信息授权是否可以跨域访问>除了dom、cookie、xmlHttpRequest会受到同源策略的限制外,对第三方插件也要有各自的同源策略,如Flash、java applet、silverlight、google gears等;
然而同源策略并非坚不可摧,同源策略也可被绕过;
<body>
<style>
@import url("http://192.168.0.251:8087/gz/jsp/public/main.jsp")
</style>
<script>
var t = document.body.currentStyle.fontFamily;
alert(t);
</script>
</body>
<script>仅能加载资源,不能读写内容,而这个漏洞能绕过同源策略,读取页面内容;
google chrome是第一个采取多进程架构的浏览器,主要进程:浏览器进程、渲染进程、插件进程、扩展进程;
浏览器沙箱sandbox
拦截恶意网站(挂马网站、钓鱼网站)
- 6、浏览器安全(同源策略-沙箱-拦截)
- 浏览器拦截跨域请求处理方法(同源策略不允许读取服务器远程资源)
- 浏览器同源策略,跨域(跨源)
- 浏览器同源策略
- 浏览器的同源策略
- 浏览器的同源策略
- 浏览器同源策略
- 浏览器的同源策略
- 浏览器拦截跨域请求处理方法(firebug报错,同源策略不允许读取XXX上的远程资源)
- 浏览器的同源策略探究
- 浏览器同源政策及其规避方法:同源策略从根本上是浏览器对web应用在安全方面的一种控制方法
- WEB安全基础之同源策略
- javascript 同源策略及web安全
- 理解浏览器的同源策略限制
- 浏览器的同源策略类别及处理
- 同源策略——浏览器的安全卫士
- 【前端】浏览器跨域同源策略
- 浏览器同源策略及其规避方法
- 操作无序数组,有重复值
- EXTJS设置grid某个字段值
- OAuth授权(一)
- IDG王辛:下一个阿里巴巴 就在在线教育领域
- UVa10082 字符串处理
- 6、浏览器安全(同源策略-沙箱-拦截)
- 安装Redis、PHPredis扩展及Redis配置文件详解
- 进入安防,有太多需要学习
- OAuth授权(二)
- 简明的说明下ref 的关键核心地方
- 常用的Webservice
- IT人士应该知道的一个趋势-在线教育
- Node type DOCUMENT_TYPE_NODEnot supported.
- 一个屌丝的58页年终总结!笑喷了~~