一 介绍
同源策略是JavaScript主要的安全策略,表示一个脚本只能读取与它同源的窗口或文档的属性,这样可以防止从一个站点载入的脚本获取或设置另一站点的文档属性。
例如,使用一段恶意的脚本代码在一个浏览器中运行,如果没有同源策略,此段恶意代码就有可能获取另一个浏览器窗口中的信息,而该窗口中有可能包含部分私有信息。
同源策略用来检测两个URL是否属于同一个源。
当一个脚本试图访问另一个窗口中的属性或方法时,浏览器会对URL进行检测,如果URL通过了检测,则允许访问属性,否则浏览器将会报错。
判断两个URL是否属于同源,需要满足以下条件。
l、协议相同
2、端口相同
3、域名相同
如果这3个条件中有任何一条不满足,就不允许两个脚本进行交互。
二 判断同源策略举例
| URL | 是否通过检测 | 说 明 |
|
http:// www.test.com /script1.js
http:// www.test.com /script2.js
|
通过 | 相同的协议、端口和域 |
|
http:// www.test.com:8080/script1.js
http:// www.test.com /script2.js
|
不通过 | 端口号不相同 |
|
http:// www.test.com /script1.js
https:// www.test.com /script2.js
|
不通过 | 协议不相同 |
|
http:// www.test.com /script1.js
http://192.168.1.86/script2.js
|
不通过 | 浏览器将不会识别IP:192.168.0.1 |
|
http:// www.test.com /script1.js
http:// www.bc110.com /script2.js
|
不通过 | 域不相同 |
|
http:// www.test.com /js/script1.js
http:// www.test.com /vb/script2.js
|
通过 | 相同的协议、端口和域 |
三 补充说明
同源策略是一种非常严格的安全策略,但是在某些情况下,同源策略也会带来一些麻烦。
例如,URL为one.test.com的文档中的脚本,可能需要访问URL为two.test.com的文档中的某个属性,这种情况有可能是合理的,但同源策略将不会允许这种情况存在。
为了使这种情况合理化,JavaScript使用document对象的domain属性,来截掉域名所匹配的一部分内容。
例如,在URL为http://www.test.com/data的文档脚本中和URL为http://data.test.com/的文档脚本中添加一行如下代码。
document.domain= 'test.com';
这两个文档中的脚本就可以进行交互,将不会受到同源策略的约束。
在默认情况下,domain属性存放的是装载文档的服务器主机名。设置这一属性时,需要使用有效的字符串,在字符串中最少需要拥有一个点符号“.”。
相关推荐
【同源策略】是Web浏览器实施的一种安全策略,旨在防止恶意脚本从一个域名访问另一个域名的数据。简单来说,它规定同一源(协议、域名和端口)的JavaScript才能访问和修改网页内容,如HTML、CSS和Cookies。然而,...
**同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
同源策略和跨域解决方案 同源策略是浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这...
中国科学院大学研究生教材,网络空间安全学院名师讲授
**同源策略(Same-Origin Policy)**是Web浏览器中一项重要的安全机制,它限制了不同源的网页之间共享数据的能力,防止恶意网站通过脚本访问并操控其他网站的敏感信息。Collabtive系统是一个开源的项目管理工具,而...
### 基于同源策略的移动应用细粒度隐私保护技术 #### 一、引言 随着移动智能终端的迅速发展,智能手机已经成为人们日常生活中不可或缺的一部分。Android等移动平台的普及不仅带来了丰富的功能和良好的用户体验,...
【同源策略】是Web浏览器中的一个重要安全机制,它的全称是Same-Origin Policy。这个策略主要是为了保护用户信息不被恶意网站窃取,通过限制JavaScript只能访问与当前页面同源(即协议、域名和端口均相同)的网页...
同源策略是JavaScript编程中非常重要的一个安全概念,其核心目的是限制一个域下的文档或脚本如何与另一个域下的资源进行交互,这是为了确保用户信息的安全,防止恶意网站访问用户信息而制定的一种策略。 同源策略的...
CSRF防护:同源策略详解.docx
1. 同源1.1 源源(Origin), 指 协议, 域名和端口号1.2 同源策略同源策略是浏览器为了保护客户端安全, 而进行限制的一种行为, 非同源情况下是无
实现跨域的方式 什么是同源策略
同源策略和跨域以及解决跨域的两种方式
同源策略是浏览器的一种安全机制,它要求来自同一源的页面才能共享数据。在本案例中,前端使用Angular框架开发的图书管理系统需要从前端代码中向运行在不同源的Django后端请求数据。由于Django后端默认不发送适当的...