同源策略Same-origin policy

同源策略Same-origin policy是Web应用的一种安全基础策略。它规定同一源中,页面包含的脚本可以访问该源下的其他页面的数据。只有当网址中的协议名、主机名和端口都相同,才认为是同一源。例如,对于http://www.baidu.com/search和https://www.baidu.com/search,这两个网址协议名不同,所以认为不是同源。在实际应用中,该策略通过Cookie来判定用户的身份。

基于该策略,用户以身份A访问页面Page1时,Page1页面中包含的脚本Js1会同一身份请求同源的页面PageB,PageB会认可身份A。如果用户访问非同源的网页PageC,即使它包含相同脚本Js1(网址完全相同),也不能以身份A去访问PageB。这样就可以避免敏感信息的泄漏。

同源策略Same-origin policy虽然一定程度上解决了Web安全问题,但也引入了新的安全问题。只要是同源,就被认为是安全的,哪怕同源网页被引入其他非同源的脚本。这就导致了跨站脚本XSS攻击。所以说,同源策略Same-origin policy是XSS攻击的基础。这也是XSS攻击时候,为什么要在同源的网页中寻找注入点的原因。

同源策略Same-origin policy相关推荐

  1. 前端开发必须说的那些事之——同源策略(same origin policy)

    同源策略指的是三个相同 协议相同 域名相同 端口相同 如https://www.baidu.com/hahah.html这个网址来说 https是使用的协议,www.baidu.com是域名,端口号默 ...

  2. CORS 跨域-同源策略

    同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源. 同源策略是浏览器安全的基石.

  3. springBoot 解决前后端分离项目中跨越请求,同源策略

    今天在做项目的过程,采用前后端分离技术的时遇到采用ajax请求无法访问后台接口,按F12,查看浏览器运行状态时,报如下错误 为了解决浏览的同源策略,就必须了解什么是同源策略. 1.什么是同源策略 同源 ...

  4. gorilla websocket无法跨域_聊聊浏览器同源策略与跨域方案详解

    开发出高性能的 Web 应用固然重要,但安全问题也不容小觑.本文我们继续以 HTTP 为线索,展开来讲一讲浏览器安全相关的同源策略. 浏览器的同源策略(Same Origin Policy) 源(Or ...

  5. 漫谈同源策略(SOP)和跨域资源共享(CORS)

    前言提要: ​ 面试的时候被问到了是否了解同源策略,并没有了解过 (虽然朋友洋写了文章,但是我当时也没有仔细琢磨).所以有了这篇文- ​ 据说了解同源策略是十分有必要的,要深入了解XSS/CSRF等w ...

  6. 什么是同源策略,为什么需要同源策略

    同源策略: 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心最基本的安全功能.所谓的同源是指域名.协议.端口相同.不同源的客户端脚本在没有明确授权的情况下是不允许读写其他网 ...

  7. 浏览器同源策略,跨域(跨源)

    参考 https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy http://www.ruanyifeng.co ...

  8. 同源策略(same origin policy)

    浏览器的同源策略 同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互.能够减少恶意文档,减少可能被攻击媒介. 如果两个URL的协议.域名.端口号 ...

  9. JS实现的ajax和同源策略

    一.回顾jQuery实现的ajax 首先说一下ajax的优缺点 优点:AJAX使用Javascript技术向服务器发送异步请求: AJAX无须刷新整个页面: 因为服务器响应内容不再是整个页面,而是页面 ...

最新文章

  1. FreeBSD 6.0架设管理与应用-第三章 UNIX 系统入门
  2. 解决Cesium无法加载出地球的问题
  3. matlab中矩阵的左除右除
  4. 【源码】net_device结构
  5. 关于SEL的简单总结
  6. Python ' ~ ' (取反) 操作符解释
  7. 有道难题第一题非OO解,极端记录160ms
  8. 留个脚印,证明我来过~!
  9. comsol固体传热_参与介质中辐射传热的 4 种计算方法
  10. python caffe框架_Windows下的caffe框架的配置
  11. 树莓派+USB免驱摄像头远程监控
  12. 《惢客创业日记》2020.04.01-15(周三) 国家有难,匹夫有责(四)
  13. OpenCV55:高动态范围成像|High Dynamic Range (HDR)
  14. Lipschitz 条件或者Lipschitz连续
  15. 萌娃第一台电动车哪吒魔小童正式交付
  16. 测试人的后半生:跑滴滴还是送外卖?
  17. 《周志明的软件架构课》学习笔记 Day6
  18. 区块链运作机制_什么是区块链及其运作方式?
  19. LabVIEW与MATLAB混合编程——调用Matlab中.m的函数
  20. python3 - 7 Python数据类型-字符串

热门文章

  1. 简单介绍ASP中Cache技术的应用
  2. No serializer found for class org.hibernate.proxy.pojo.javassist.JavassistLazyInitializer解决方法
  3. 开发中解决Access-Control-Allow-Origin跨域问题的Chrome神器插件,安装及使用
  4. 日常工作问题解决:配置NTP服务器以及一些常见错误解决
  5. 【玩转server 2019系列】Windows server 2019打开windows defender提示“需要新应用打开windows defender”的解决方法
  6. 解决JS在url中传递参数时参数包含中文乱码的问题
  7. 华为9.0系统机器一键激活xposed框架的流程
  8. 第三天·HTML常用标签
  9. call、bind与apply
  10. 补第四周作业总结——8 puzzle