深入淺析同源策略和跨域存取_javascript技巧-js教程-PHP中文網

首頁

web前端

js教程

深入淺析同源策略和跨域存取_javascript技巧

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 16, 2016 pm 03:29 PM

1. 什麼是同種策略

瞭解跨域必須先了解同源策略。同源策略是瀏覽器上為安全性考量實施的非常重要的安全策略。

何謂同源:

URL由協定、網域名稱、連接埠和路徑組成，如果兩個URL的協定、網域名稱和連接埠相同，則表示他們同源。

同源策略:

瀏覽器的同源策略，限制了來自不同來源的"document"或腳本，對目前"document"讀取或設定某些屬性。（白帽子講web安全[1]）

從一個網域載入的腳本不允許存取另一個網域的文件屬性。

舉例：

例如一個惡意網站的頁面透過iframe嵌入了銀行的登入頁面（二者不同來源），如果沒有同源限制，惡意網頁上的javascript腳本就可以在使用者登入銀行的時候取得使用者名稱和密碼。

在瀏覽器中，<script>、<img src="/static/imghw/default1.png" data-src="http://localhost:8081/test2.html" class="lazy" alt="深入淺析同源策略和跨域存取_javascript技巧" >、<iframe>、<link>等標籤都可以載入跨網域資源，而不受同源限制，但瀏覽器限制了JavaScript的權限使其不能讀、寫入載入的內容。 <br /> </script>

另外同源策略只對網頁的HTML文檔做了限制，並且對載入的其他靜態資源如javascript、css、圖片等仍認為屬於同源。

程式碼範例（http://localhost:8080/和http://localhost:8081由於連接埠不同而不同源）：

http://localhost:8080/test.html 
    <html> 
      <head><title>test same origin policy</title></head> 
      <body> 
        <iframe id="test"></iframe> 
        <script type="text/javascript"> 
          document.getElementById("test").contentDocument.body.innerHTML = "write somthing"; 
        </script> 
      </body> 
    </html> 
http://localhost:8081/test2.html 
    <html> 
      <head><title>test same origin policy</title></head> 
      <body> 
        Testing. 
      </body> 
    </html>

登入後複製

在Firefox中会得到如下错误：

Error: Permission denied to access property 'body'

Document对象的domain属性存放着装载文档的服务器的主机名，可以设置它。
例如来自"blog.csdn.net"和来自"bbs.csdn.net"的页面，都将document.domain设置为"csdn.net"，则来自两个子域名的脚本即可相互访问。
出于安全的考虑，不能设置为其他主domain，比如http://www.csdn.net/不能设置为sina.com

2. Ajax跨域

Ajax (XMLHttpRequest)请求受到同源策略的限制。

Ajax通过XMLHttpRequest能够与远程的服务器进行信息交互，另外XMLHttpRequest是一个纯粹的Javascript对象，这样的交互过程，是在后台进行的，用户不易察觉。

因此，XMLHTTP实际上已经突破了原有的Javascript的安全限制。

举个例子：

假设某网站引用了其它站点的javascript，这个站点被compromise并在javascript中加入获取用户输入并通过ajax提交给其他站点，这样就可以源源不断收集信息。

或者某网站因为存在漏洞导致XSS注入了javascript脚本，这个脚本就可以通过ajax获取用户信息并通过ajax提交给其他站点，这样就可以源源不断收集信息。

如果我们又想利用XMLHTTP的无刷新异步交互能力，又不愿意公然突破Javascript的安全策略，可以选择的方案就是给XMLHTTP加上严格的同源限制。

这样的安全策略，很类似于Applet的安全策略。IFrame的限制还仅仅是不能访问跨域HTMLDOM中的数据，而XMLHTTP则根本上限制了跨域请求的提交。（实际上下面提到了CORS已经放宽了限制）

随着Ajax技术和网络服务的发展，对跨域的要求也越来越强烈。下面介绍Ajax的跨域技术。

2.1 JSONP

JSONP技术实际和Ajax没有关系。我们知道

熱AI工具

Undresser.AI Undress

人工智慧驅動的應用程序，用於創建逼真的裸體照片

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

免費脫衣圖片

Clothoff.io

AI脫衣器

Video Face Swap

使用我們完全免費的人工智慧換臉工具，輕鬆在任何影片中換臉！

熱工具

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

中文版，非常好用

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

熱門話題

Java教學

1664

CakePHP 教程

1423

Laravel 教程

1317

PHP教程

1268

C# 教程

1248

Related knowledge

JavaScript引擎：比較實施 Apr 13, 2025 am 12:05 AM

不同JavaScript引擎在解析和執行JavaScript代碼時，效果會有所不同，因為每個引擎的實現原理和優化策略各有差異。 1.詞法分析：將源碼轉換為詞法單元。 2.語法分析：生成抽象語法樹。 3.優化和編譯：通過JIT編譯器生成機器碼。 4.執行：運行機器碼。 V8引擎通過即時編譯和隱藏類優化，SpiderMonkey使用類型推斷系統，導致在相同代碼上的性能表現不同。

Python vs. JavaScript：學習曲線和易用性 Apr 16, 2025 am 12:12 AM

Python更適合初學者，學習曲線平緩，語法簡潔；JavaScript適合前端開發，學習曲線較陡，語法靈活。 1.Python語法直觀，適用於數據科學和後端開發。 2.JavaScript靈活，廣泛用於前端和服務器端編程。

JavaScript：探索網絡語言的多功能性 Apr 11, 2025 am 12:01 AM

JavaScript是現代Web開發的核心語言，因其多樣性和靈活性而廣泛應用。 1)前端開發：通過DOM操作和現代框架（如React、Vue.js、Angular）構建動態網頁和單頁面應用。 2)服務器端開發：Node.js利用非阻塞I/O模型處理高並發和實時應用。 3)移動和桌面應用開發：通過ReactNative和Electron實現跨平台開發，提高開發效率。

如何使用Next.js（前端集成）構建多租戶SaaS應用程序 Apr 11, 2025 am 08:22 AM

本文展示了與許可證確保的後端的前端集成，並使用Next.js構建功能性Edtech SaaS應用程序。前端獲取用戶權限以控制UI的可見性並確保API要求遵守角色庫

使用Next.js（後端集成）構建多租戶SaaS應用程序 Apr 11, 2025 am 08:23 AM

我使用您的日常技術工具構建了功能性的多租戶SaaS應用程序（一個Edtech應用程序），您可以做同樣的事情。首先，什麼是多租戶SaaS應用程序？多租戶SaaS應用程序可讓您從唱歌中為多個客戶提供服務

從C/C到JavaScript：所有工作方式 Apr 14, 2025 am 12:05 AM

從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1）C/C 是靜態類型語言，需手動管理內存，而JavaScript是動態類型，垃圾回收自動處理。 2）C/C 需編譯成機器碼，JavaScript則為解釋型語言。 3）JavaScript引入閉包、原型鍊和Promise等概念，增強了靈活性和異步編程能力。