同源策略Same-origin policy
同源策略Same-origin policy是Web应用的一种安全基础策略。它规定同一源中,页面包含的脚本可以访问该源下的其他页面的数据。只有当网址中的协议名、主机名和端口都相同,才认为是同一源。例如,对于http://www.baidu.com/search和https://www.baidu.com/search,这两个网址协议名不同,所以认为不是同源。在实际应用中,该策略通过Cookie来判定用户的身份。
基于该策略,用户以身份A访问页面Page1时,Page1页面中包含的脚本Js1会同一身份请求同源的页面PageB,PageB会认可身份A。如果用户访问非同源的网页PageC,即使它包含相同脚本Js1(网址完全相同),也不能以身份A去访问PageB。这样就可以避免敏感信息的泄漏。
同源策略Same-origin policy虽然一定程度上解决了Web安全问题,但也引入了新的安全问题。只要是同源,就被认为是安全的,哪怕同源网页被引入其他非同源的脚本。这就导致了跨站脚本XSS攻击。所以说,同源策略Same-origin policy是XSS攻击的基础。这也是XSS攻击时候,为什么要在同源的网页中寻找注入点的原因。
同源策略Same-origin policy相关推荐
- 前端开发必须说的那些事之——同源策略(same origin policy)
同源策略指的是三个相同 协议相同 域名相同 端口相同 如https://www.baidu.com/hahah.html这个网址来说 https是使用的协议,www.baidu.com是域名,端口号默 ...
- CORS 跨域-同源策略
同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源. 同源策略是浏览器安全的基石.
- springBoot 解决前后端分离项目中跨越请求,同源策略
今天在做项目的过程,采用前后端分离技术的时遇到采用ajax请求无法访问后台接口,按F12,查看浏览器运行状态时,报如下错误 为了解决浏览的同源策略,就必须了解什么是同源策略. 1.什么是同源策略 同源 ...
- gorilla websocket无法跨域_聊聊浏览器同源策略与跨域方案详解
开发出高性能的 Web 应用固然重要,但安全问题也不容小觑.本文我们继续以 HTTP 为线索,展开来讲一讲浏览器安全相关的同源策略. 浏览器的同源策略(Same Origin Policy) 源(Or ...
- 漫谈同源策略(SOP)和跨域资源共享(CORS)
前言提要: 面试的时候被问到了是否了解同源策略,并没有了解过 (虽然朋友洋写了文章,但是我当时也没有仔细琢磨).所以有了这篇文- 据说了解同源策略是十分有必要的,要深入了解XSS/CSRF等w ...
- 什么是同源策略,为什么需要同源策略
同源策略: 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心最基本的安全功能.所谓的同源是指域名.协议.端口相同.不同源的客户端脚本在没有明确授权的情况下是不允许读写其他网 ...
- 浏览器同源策略,跨域(跨源)
参考 https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy http://www.ruanyifeng.co ...
- 同源策略(same origin policy)
浏览器的同源策略 同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互.能够减少恶意文档,减少可能被攻击媒介. 如果两个URL的协议.域名.端口号 ...
- JS实现的ajax和同源策略
一.回顾jQuery实现的ajax 首先说一下ajax的优缺点 优点:AJAX使用Javascript技术向服务器发送异步请求: AJAX无须刷新整个页面: 因为服务器响应内容不再是整个页面,而是页面 ...
最新文章
- FreeBSD 6.0架设管理与应用-第三章 UNIX 系统入门
- 解决Cesium无法加载出地球的问题
- matlab中矩阵的左除右除
- 【源码】net_device结构
- 关于SEL的简单总结
- Python ' ~ ' (取反) 操作符解释
- 有道难题第一题非OO解,极端记录160ms
- 留个脚印,证明我来过~!
- comsol固体传热_参与介质中辐射传热的 4 种计算方法
- python caffe框架_Windows下的caffe框架的配置
- 树莓派+USB免驱摄像头远程监控
- 《惢客创业日记》2020.04.01-15(周三) 国家有难,匹夫有责(四)
- OpenCV55:高动态范围成像|High Dynamic Range (HDR)
- Lipschitz 条件或者Lipschitz连续
- 萌娃第一台电动车哪吒魔小童正式交付
- 测试人的后半生:跑滴滴还是送外卖?
- 《周志明的软件架构课》学习笔记 Day6
- 区块链运作机制_什么是区块链及其运作方式?
- LabVIEW与MATLAB混合编程——调用Matlab中.m的函数
- python3 - 7 Python数据类型-字符串
热门文章
- 简单介绍ASP中Cache技术的应用
- No serializer found for class org.hibernate.proxy.pojo.javassist.JavassistLazyInitializer解决方法
- 开发中解决Access-Control-Allow-Origin跨域问题的Chrome神器插件,安装及使用
- 日常工作问题解决:配置NTP服务器以及一些常见错误解决
- 【玩转server 2019系列】Windows server 2019打开windows defender提示“需要新应用打开windows defender”的解决方法
- 解决JS在url中传递参数时参数包含中文乱码的问题
- 华为9.0系统机器一键激活xposed框架的流程
- 第三天·HTML常用标签
- call、bind与apply
- 补第四周作业总结——8 puzzle