摘要:可以說同源策略在安全中扮演著及其重要的角色��。我把這個領(lǐng)域的東西寫成了一個系列����,以后還會繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊
之所以要將同源策略與跨域?qū)懺谝黄穑且驗榇嬖跒g覽器的同源策略���,才會存在跨域問題
何為同源策略
同源策略是瀏覽器實現(xiàn)的一種安全策略�,它限制了不同源之間的文檔和腳本交互的權(quán)限����。只有同一個源的腳本才會具有操作dom、讀寫cookie、session �、ajax等敏感操作的權(quán)限?���?梢哉f同源策略在web安全中扮演著及其重要的角色�����。所謂同源簡單來說即是兩個頁面必須具有相同的協(xié)議�、端口還有域名。
以http://www.site.com/index.html為例�����,舉個小栗子:
| url |
是否跨域 |
原因 |
|
http://www.site.com/other/ind... |
否 |
|
|
http://child.site.com/index.html |
是 |
origin 不一樣(www與child) |
|
http://www.site.com:8090/index.html |
是 |
端口 不一樣(80與8090) |
|
https://www.site.com/index.html |
是 |
協(xié)議 不一樣(http與https) |
IE是個例外
不得不調(diào)侃一下��,在兼容性方面IE似乎永遠都難以跟上別的瀏覽器發(fā)展的步伐�����,永遠都是一個例外���。
授信范圍(Trust Zones):兩個相互之間高度互信的域名�,如公司域名(corporate domains)��,不遵守同源策略的限制。
端口:IE未將端口號加入到同源策略的組成部分之中����,因此 http://www.size.com:81/index.html 和http://www.size.com:8090/index.html 屬于同源并且不受任何限制。
雖然同源策略限制了跨域文檔腳本的操作能力���,但明確允許部分資源性的標(biāo)簽是可以加載跨域資源的�,如![]()
, 標(biāo)簽嵌入跨域腳本�����。語法錯誤信息只能在同源腳本中捕捉到��。
標(biāo)簽嵌入CSS�。由于CSS的松散的語法規(guī)則,CSS的跨域需要一個設(shè)置正確的Content-Type消息頭����。
![]()
嵌入圖片。
@font-face引入的字體��。
和
