`
pengtyao
  • 浏览: 402185 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

浏览器同源策略

阅读更多
什么是同源策略

    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。

为什么需要同源策略


这里举个例子:
    假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,比如:读取/修改网页中某个值。恩,你现在打开了浏览器,在一个tab窗口中打开了银行网站,在另外一个tab窗口中打开了一个恶意网站,而那个恶意网站挂了一个的专门修改银行信息的JavaScript,当你访问这个恶意网站并且执行它JavaScript时,你的银行页面就会被这个JavaScript修改,后果会非常严重!而同源策略就为了防止这种事情发生,看下图:





比如说,浏览器的两个tab页中分别打开了http://www.baidu.com/index.html和http://www.google.com/index.html,其中,JavaScript1和JavaScript3是属于百度的脚本,而JavaScript2是属于谷歌的脚本,当浏览器的tab1要运行一个脚本时,便会进行同源检查,只有和www.baidu.com同源的脚本才能被执行,所谓同源,就是指域名、协议、端口相同。所以,tab1只能执行JavaScript1和JavaScript3脚本,而JavaScript2不能执行,从而防止其他网页对本网页的非法篡改。

摘自:《Selenium私房菜系列7》
  • 大小: 68.9 KB
分享到:
评论

相关推荐

    第八节 浏览器同源策略介绍-01

    浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...

    Collabtive系统浏览器同源策略探索实验-内含源码以及设计说明书(可以自己运行复现).zip

    在《Collabtive系统浏览器同源策略探索实验》中,你将有机会亲自运行源代码,体验同源策略如何影响跨域通信。源码的分析和实践将帮助你更好地掌握这一概念,同时,设计说明书会提供理论背景和具体步骤,指导你如何...

    详解基于浏览器同源策略的几种跨域方式

    浏览器同源策略是Web开发中的一项重要安全机制,它防止了不同源之间的文档或脚本相互干扰,以保护用户隐私和安全性。同源策略规定,只有当两个网页的协议、域名和端口号都相同时,这两个网页才属于同一个源,否则...

    同源策略以及cookie安全策略

    【同源策略】是Web浏览器实施的一种安全策略,旨在防止恶意脚本从一个域名访问另一个域名的数据。简单来说,它规定同一源(协议、域名和端口)的JavaScript才能访问和修改网页内容,如HTML、CSS和Cookies。然而,...

    2024最新Web安全攻防教程资料PPT大合集(143份).zip

    浏览器同源策略介绍.pptx shodan搜索技巧.pptx Sqlmap通用参数.pptx DTD快速入门.pptx XSS发生的位置.pptx XSS跨站脚本分类.pptx CSRF漏洞防御.pptx 收集敏感信息.pptx Mysql注入有关知识点.pptx 标签属性中的XSS....

    Allow-Control-Allow-Origin最新谷歌跨域扩展插件下载

    标题中的“Allow-Control-Allow-Origin”是指一种用于解决浏览器同源策略限制的技术,它涉及到Web开发中的跨域资源共享(CORS)机制。同源策略是浏览器为了保护用户数据安全而实施的一项安全策略,它禁止不同源的...

    同源策略详细介绍文档

    **同源策略**是指在[Web浏览器](https://zh.wikipedia.org/wiki/排版引擎)中,允许某个网页[脚本](https://zh.wikipedia.org/wiki/腳本)访问另一个网页的数据,但前提是这两个网页必须有相同的[URI]...

    百度地图Lushu.js

    百度地图Lushu.js

    浅谈DNS重绑定漏洞1

    DNS重绑定漏洞是一种利用DNS解析机制和浏览器同源策略缺陷的网络攻击技术。这种漏洞最早出现在互联网安全领域,近年来在CTF(Capture The Flag,网络安全竞赛)比赛的Web题目中常见。本文将深入探讨DNS重绑定的概念...

    XmlHttpProxy

    总之,XmlHttpProxy是一个帮助开发者绕过浏览器同源策略限制的工具,它利用了XMLHttpRequest和代理服务的概念。通过学习和使用这个工具,开发者能够更好地理解和实践跨域通信技术,提升Web应用的功能和用户体验。

    Allow-Control-Allow-Origin_1_0_3_0.crx_.zip

    这是一个Chrome扩展,安装后,它会在Chrome的开发者工具中模拟服务器返回包含"Access-Control-Allow-Origin"头部的响应,使得在调试阶段,前端代码可以不受浏览器同源策略的限制,正常发起跨域请求。 使用方法如下...

    什么是跨域解决方案有哪些.docx

    狭义的跨域是由浏览器同源策略限制的一类请求场景。 同源策略/SOP(Same origin policy)是一种约定,由 Netscape 公司 1995 年引入浏览器,它是浏览器最核心也最基本的安全功能。如果缺少了同源策略,浏览器很容易...

    Allow-Control-Allow-Origin.rar

    5. 开发者现在可以在Chrome的开发者工具中进行跨域请求,而不会受到浏览器同源策略的限制。 总的来说,“Allow-Control-Allow-Origin.rar”为Chrome开发者提供了一个便捷的工具,帮助他们克服跨域限制,提高开发...

    js -- 跨域问题.doc

    跨域问题是指由于浏览器同源策略的限制,导致不同域之间的资源无法交互的现象。该问题在Web开发中非常常见,不仅会导致开发困难,也会影响用户体验。因此,了解跨域问题的解决方法非常重要。下面总结了跨域问题的...

    signalR跨域及解决方案

    跨域是指一个源(Origin,包括协议、域名和端口)试图访问另一个源的资源时受到浏览器同源策略的限制。这种策略是为了保护用户数据安全,防止恶意网站窃取或篡改信息。 **为什么会发生跨域问题?** 跨域是由浏览器...

    同源策略和跨域解决方案.docx

    同源策略是浏览器的一个安全功能,用来限制不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意...

    简单实现兼容各大浏览器的js复制内容到剪切板

    对于这些浏览器,可以考虑使用HTML5的`navigator.clipboard.writeText` API,但需考虑到这个API需要用户的权限,并且在某些情况下可能受到浏览器同源策略的限制。 总之,通过ZeroClipboard库,我们可以实现一个兼容...

    基于同源策略的移动应用细粒度隐私保护技术

    引入类似浏览器同源策略的细粒度控制机制,打破了应用之间的界限,将粒度细化到代码来源。将控制机制实现到Android系统层,并提供了一套插桩工具对应用进行修改。实验结果表明,系统能够起到允许或禁止特定开发者...

    跨域资源那些事.pdf

    跨域资源分享(Cross-Origin Resource Sharing,简称CORS)是Web开发中解决浏览器同源策略限制的一种机制。同源策略是浏览器内置的安全措施,限制了来自不同源的“脚本”对网页内容的访问,以防止恶意代码窃取数据。...

Global site tag (gtag.js) - Google Analytics