hujung hadapan web
tutorial js
Penjelasan terperinci tentang kemahiran policy_javascript asal yang sama
Penjelasan terperinci tentang kemahiran policy_javascript asal yang sama
Artikel ini menganalisis strategi asal yang sama dengan lebih terperinci. Kongsikan dengan semua orang untuk rujukan anda. Butirannya adalah seperti berikut:
Konsep: Dasar asal yang sama ialah metrik keselamatan yang penting untuk skrip sisi klien (terutamanya Javascript). Ia pertama kali keluar daripada Netscape Navigator2.0, dan tujuannya adalah untuk menghalang dokumen atau skrip daripada dimuatkan daripada pelbagai sumber yang berbeza.
Asal yang sama di sini merujuk kepada: protokol yang sama, nama domain yang sama dan port yang sama.
Intipati:
Intipatinya adalah mudah: ia menganggap kandungan dipercayai yang dimuatkan dari mana-mana tapak sebagai tidak selamat. Apabila skrip yang tidak dipercayai oleh penyemak imbas dijalankan dalam kotak pasir, ia hanya dibenarkan untuk mengakses sumber dari tapak yang sama, bukan dari tapak lain yang mungkin berniat jahat.
Mengapa terdapat sekatan asal yang sama?
Mari kita berikan contoh: Sebagai contoh, program penggodam menggunakan IFrame untuk membenamkan halaman log masuk bank sebenar pada halamannya Apabila anda log masuk dengan nama pengguna dan kata laluan sebenar anda, halamannya boleh dibaca melalui Javascript input dalam borang anda, supaya nama pengguna dan kata laluan boleh diperolehi dengan mudah.
Aplikasi Ajax:
Had keselamatan ini dipecahkan dalam aplikasi Ajax.
Dalam aplikasi Javascript biasa, kami boleh mengubah suai href Frame atau src IFrame untuk mencapai penyerahan merentas domain dalam mod GET, tetapi kami tidak boleh mengakses kandungan dalam Frame/IFrame merentas domain.
Ajax menggunakan XMLHTTP untuk interaksi tak segerak Objek ini juga boleh berinteraksi dengan pelayan jauh Apa yang lebih berbahaya ialah XMLHTTP ialah objek Javascript tulen ini dilakukan di latar belakang. Oleh itu, XMLHTTP sebenarnya telah menembusi had keselamatan asal Javascript.
Jika kami ingin memanfaatkan keupayaan interaksi tak segerak bebas muat semula XMLHTTP, tetapi tidak mahu melanggar dasar keselamatan Javascript secara terang-terangan, alternatifnya ialah menambah sekatan ketat asal yang sama pada XMLHTTP. Dasar keselamatan sedemikian hampir sama dengan dasar keselamatan Applet. Penghadan IFrame ialah ia tidak boleh mengakses data dalam HTMLDOM silang domain, manakala XMLHTTP pada asasnya mengehadkan penyerahan permintaan merentas domain .
Sokongan penyemak imbas: IE sebenarnya membuka dua pintu belakang untuk dasar keselamatan ini Satu ialah: ia menganggap bahawa fail tempatan anda secara semula jadi mengetahui kandungan yang akan diakses, jadi mana-mana fail tempatan anda mengakses data luaran amaran. Satu lagi ialah: apabila skrip tapak web yang anda lawati berhasrat untuk mengakses maklumat merentas domain, ia sebenarnya hanya muncul kotak dialog untuk mengingatkan anda. Jika tapak web penipuan menggunakan kaedah ini untuk memberikan anda halaman palsu, dan kemudian membantu anda log masuk ke pelayan bank sebenar dari jauh melalui XMLHTTP. Hanya seorang daripada 10 pengguna keliru dan mengklik OK. Kecurian akaun mereka berjaya! Fikirkanlah, betapa bahayanya ini!
FireFox tidak melakukan ini Secara lalai, FireFox tidak menyokong permintaan XMLHTTP merentas domain dan tidak memberi peluang seperti itu kepada penggodam.
Elakkan strategi asal yang sama:
JSON dan teg skrip dinamik
src="http://yoursiteweb.com/findItinerary?username=sachiko&
reservationNum=1234&output=json&callback=showItinerary" />
Apabila kod JavaScript memasukkan teg
Proksi Ajax
Proksi Ajax ialah pelayan proksi peringkat aplikasi yang mengantara permintaan dan respons HTTP antara penyemak imbas web dan pelayan. Proksi Ajax membenarkan pelayar web memintas Dasar Asal yang Sama supaya pelayan pihak ketiga boleh diakses menggunakan XMLHttpRequest. Untuk mencapai pintasan ini, terdapat dua kaedah untuk dipilih:
Aplikasi web pelanggan mengetahui URL pihak ketiga dan menghantar URL kepada proksi Ajax sebagai parameter permintaan dalam permintaan HTTP. Proksi kemudiannya memajukan permintaan ke [url]www.jb51.net[/url]. Ambil perhatian bahawa penggunaan pelayan proksi boleh disembunyikan dalam pelaksanaan perpustakaan Ajax yang digunakan oleh pembangun aplikasi Web. Bagi pembangun aplikasi web, nampaknya tiada Dasar Asal yang Sama sama sekali.
Aplikasi web pelanggan tidak mengetahui URL pihak ketiga dan cuba mengakses sumber pada pelayan proksi Ajax melalui HTTP. Menggunakan peraturan pengekodan yang dipratentukan, proksi Ajax menukar URL yang diminta kepada URL pelayan pihak ketiga dan mendapatkan semula kandungan bagi pihak klien. Ini menunjukkan kepada pembangun aplikasi web bahawa mereka berkomunikasi secara langsung dengan pelayan proksi.
Greasemonkey
Greasemonkey ialah sambungan Firefox yang membolehkan pengguna mengubah suai gaya dan kandungan halaman web secara dinamik. Pengguna Greasemonkey boleh mengaitkan fail skrip pengguna dengan koleksi URL. Skrip ini dilaksanakan apabila penyemak imbas memuatkan halaman daripada set URL ini. Greasemonkey menyediakan kebenaran tambahan kepada API untuk skrip pengguna (berbanding dengan kebenaran untuk skrip yang dijalankan dalam kotak pasir penyemak imbas).
GM_XMLHttpRequest ialah salah satu daripada API ini, yang pada asasnya ialah XMLHttpRequest tanpa dasar asal yang sama. Skrip pengguna boleh mengatasi XMLHttpRequest terbina dalam penyemak imbas dengan GM_XMLHttpRequest, membenarkan XMLHttpRequest melakukan akses merentas domain.
Penggunaan GM_XMLHttpRequest hanya boleh dilindungi melalui persetujuan pengguna. Maksudnya, Greasemonkey hanya memerlukan konfigurasi pengguna apabila mewujudkan perkaitan antara skrip pengguna baharu dan koleksi URL tertentu. Walau bagaimanapun, tidak sukar untuk membayangkan bahawa sesetengah pengguna mungkin terpedaya untuk menerima pemasangan tanpa memahami sepenuhnya akibatnya.
Saya harap artikel ini akan membantu reka bentuk pengaturcaraan JavaScript semua orang.
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
1389
52
Cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi pan peta
Nov 21, 2023 am 10:00 AM
Cara menggunakan JS dan Baidu Map untuk melaksanakan fungsi pan peta Baidu Map ialah platform perkhidmatan peta yang digunakan secara meluas, yang sering digunakan untuk memaparkan maklumat geografi, kedudukan dan fungsi lain dalam pembangunan web. Artikel ini akan memperkenalkan cara menggunakan API Peta JS dan Baidu untuk melaksanakan fungsi pan peta dan memberikan contoh kod khusus. 1. Persediaan Sebelum menggunakan API Peta Baidu, anda perlu memohon akaun pembangun pada Platform Terbuka Peta Baidu (http://lbsyun.baidu.com/) dan mencipta aplikasi. Penciptaan selesai
Disyorkan: Projek pengesanan dan pengecaman muka sumber terbuka JS yang sangat baik
Apr 03, 2024 am 11:55 AM
Teknologi pengesanan dan pengecaman muka adalah teknologi yang agak matang dan digunakan secara meluas. Pada masa ini, bahasa aplikasi Internet yang paling banyak digunakan ialah JS Melaksanakan pengesanan muka dan pengecaman pada bahagian hadapan Web mempunyai kelebihan dan kekurangan berbanding dengan pengecaman muka bahagian belakang. Kelebihan termasuk mengurangkan interaksi rangkaian dan pengecaman masa nyata, yang sangat memendekkan masa menunggu pengguna dan meningkatkan pengalaman pengguna termasuk: terhad oleh saiz model, ketepatannya juga terhad. Bagaimana untuk menggunakan js untuk melaksanakan pengesanan muka di web? Untuk melaksanakan pengecaman muka di Web, anda perlu biasa dengan bahasa dan teknologi pengaturcaraan yang berkaitan, seperti JavaScript, HTML, CSS, WebRTC, dll. Pada masa yang sama, anda juga perlu menguasai visi komputer yang berkaitan dan teknologi kecerdasan buatan. Perlu diingat bahawa kerana reka bentuk bahagian Web
Cara membuat carta candlestick saham menggunakan PHP dan JS
Dec 17, 2023 am 08:08 AM
Cara menggunakan PHP dan JS untuk mencipta carta lilin saham Carta lilin saham ialah grafik analisis teknikal biasa dalam pasaran saham Ia membantu pelabur memahami saham dengan lebih intuitif dengan melukis data seperti harga pembukaan, harga penutup, harga tertinggi. dan harga terendah turun naik harga saham. Artikel ini akan mengajar anda cara membuat carta lilin saham menggunakan PHP dan JS, dengan contoh kod khusus. 1. Persediaan Sebelum memulakan, kita perlu menyediakan persekitaran berikut: 1. Pelayan yang menjalankan PHP 2. Pelayar yang menyokong HTML5 dan Kanvas 3
Alat penting untuk analisis saham: Ketahui langkah-langkah untuk melukis carta lilin dengan PHP dan JS
Dec 17, 2023 pm 06:55 PM
Alat penting untuk analisis saham: Pelajari langkah-langkah untuk melukis carta lilin dalam PHP dan JS, contoh kod khusus diperlukan Dengan perkembangan pesat Internet dan teknologi, perdagangan saham telah menjadi salah satu cara penting bagi banyak pelabur. Analisis saham adalah bahagian penting dalam membuat keputusan pelabur, dan carta lilin digunakan secara meluas dalam analisis teknikal. Mempelajari cara melukis carta lilin menggunakan PHP dan JS akan memberikan pelabur maklumat yang lebih intuitif untuk membantu mereka membuat keputusan yang lebih baik. Carta candlestick ialah carta teknikal yang memaparkan harga saham dalam bentuk candlestick. Ia menunjukkan harga saham
Cara menggunakan JS dan Baidu Map untuk melaksanakan fungsi pemprosesan acara klik peta
Nov 21, 2023 am 11:11 AM
Gambaran keseluruhan tentang cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi pemprosesan acara klik peta: Dalam pembangunan web, selalunya perlu menggunakan fungsi peta untuk memaparkan lokasi geografi dan maklumat geografi. Pemprosesan acara klik pada peta ialah bahagian yang biasa digunakan dan penting dalam fungsi peta. Artikel ini akan memperkenalkan cara menggunakan API Peta JS dan Baidu untuk melaksanakan fungsi pemprosesan acara klik pada peta dan memberikan contoh kod khusus. Langkah: Import fail API Peta Baidu Pertama, import fail API Peta Baidu dalam fail HTML Ini boleh dicapai melalui kod berikut.
Cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi peta haba peta
Nov 21, 2023 am 09:33 AM
Cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi peta haba peta Pengenalan: Dengan perkembangan pesat Internet dan peranti mudah alih, peta telah menjadi senario aplikasi biasa. Sebagai kaedah paparan visual, peta haba boleh membantu kami memahami pengedaran data dengan lebih intuitif. Artikel ini akan memperkenalkan cara menggunakan API Peta JS dan Baidu untuk melaksanakan fungsi peta haba peta dan memberikan contoh kod khusus. Kerja penyediaan: Sebelum memulakan, anda perlu menyediakan item berikut: akaun pembangun Baidu, buat aplikasi dan dapatkan AP yang sepadan
Petua Pembangunan PHP dan JS: Kuasai Kaedah Melukis Carta Lilin Stok
Dec 18, 2023 pm 03:39 PM
Dengan perkembangan pesat kewangan Internet, pelaburan saham telah menjadi pilihan semakin ramai orang. Dalam perdagangan saham, carta lilin adalah kaedah analisis teknikal yang biasa digunakan Ia boleh menunjukkan trend perubahan harga saham dan membantu pelabur membuat keputusan yang lebih tepat. Artikel ini akan memperkenalkan kemahiran pembangunan PHP dan JS, membawa pembaca memahami cara melukis carta lilin saham dan menyediakan contoh kod khusus. 1. Memahami Carta Lilin Saham Sebelum memperkenalkan cara melukis carta lilin saham, kita perlu memahami dahulu apa itu carta lilin. Carta candlestick telah dibangunkan oleh orang Jepun
Cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi lukisan poligon peta
Nov 21, 2023 am 10:53 AM
Cara menggunakan Peta JS dan Baidu untuk melaksanakan fungsi lukisan poligon peta Dalam pembangunan web moden, aplikasi peta telah menjadi salah satu fungsi biasa. Melukis poligon pada peta boleh membantu kami menandakan kawasan tertentu untuk dilihat dan dianalisis oleh pengguna. Artikel ini akan memperkenalkan cara menggunakan API Peta JS dan Baidu untuk melaksanakan fungsi lukisan poligon peta dan memberikan contoh kod khusus. Pertama, kita perlu memperkenalkan API Peta Baidu. Anda boleh menggunakan kod berikut untuk mengimport JavaScript API Peta Baidu dalam fail HTML
