js同源策略詳解_javascript技巧

本文較詳細的分析了js同源策略。分享給大家供大家參考。具體如下：

概念:同源策略是客戶端腳本（尤其是Javascript）的重要的安全度量標準。它最早出自Netscape Navigator2.0，其目的是防止某個文件或腳本從多個不同來源裝載。

這裡的同源指的是：同協議，同域名和同端口。

精髓：

它的精髓很簡單：它認為自任何網站裝載的可信賴內容是不安全的。當被瀏覽器半信半疑的腳本運行在沙箱時，它們應該只被允許訪問來自同一網站的資源，而不是那些來自其它網站可能懷有惡意的資源。

為什麼要有同源限制？

我們舉例說明：例如一個駭客程序，他利用IFrame把真正的銀行登入頁面嵌到他的頁面上，當你使用真實的用戶名，密碼登入時，他的頁面就可以透過Javascript讀取到你的表單中input的內容，這樣用戶名，密碼就輕鬆到手了。

Ajax應用：

在Ajax應用中這種安全限制被突破。

在普通的Javascript應用程式中，我們可以修改Frame的href，或IFrame的src，以實作GET方式的跨網域提交，但卻無法存取跨網域的Frame/IFrame中的內容。

而Ajax它透過XMLHTTP進行非同步交互，這個物件同樣能夠與遠端的伺服器進行資訊交互，而且更危險的是，XMLHTTP是一個純粹的Javascript對象，這樣的交互過程，是在後台進行的，不被使用者察覺。因此，XMLHTTP其實已經突破了原有的Javascript的安全限制。

如果我們又想利用XMLHTTP的無刷新非同步互動能力，又不願意公然突破Javascript的安全策略，可以選擇的方案就是給XMLHTTP加上嚴格的同源限制。這樣的安全策略，很類似Applet的安全策略。 IFrame的限制還只是不能存取跨域HTMLDOM中的數據，而XMLHTTP則根本上限制了跨域請求的提交。

瀏覽器支援:而IE其實給這個安全策略開了兩個想當然的後門，一個是：他假設你的本地文件，自然清楚將會訪問什麼內容，所以任何你的本地文件訪問外部數據，都不會收到任何的警告。另一個是：當你造訪的網站腳本打算存取跨域的資訊時， 他居然只是彈出一個對話框來提醒你一下。如果一個詐騙網站，採用這樣的手段，提供一個假頁面給你，然後透過XMLHTTP幫你遠端登入真實的銀行伺服器。只要10個用戶裡，有個用戶糊塗一下，點了一個確定。他們的盜取帳號行為，就成功了！ 你想想看，這是何等危險的事！

FireFox就不是這樣的做法，缺省的情況下，FireFox根本就不支援跨域的XMLHTTP請求，根本就不給駭客這樣的機會。

避免同種策略：

JSON與動態腳本標記

src="http://yoursiteweb.com/findItinerary?username=sachiko&
reservationNum=1234&output=json&callback=showItinerary" /> 

當 JavaScript 程式碼動態地插入 <script> 標籤時，瀏覽器會存取 src 屬性中的 URL。這樣會導致將查詢字串中的信息傳送給伺服器。在 清單 1中，所傳遞的是 username 和 reservation 作為名稱值對傳遞。此外，查詢字串還包含向伺服器請求的輸出格式和回呼函數的名稱（即 showItinerary）。 <script> 標記載入後，會執行回呼函數，並透過回呼函數的參數把從服務傳回的資訊傳遞給該回呼函數。 </script>

Ajax代理

Ajax 代理程式是一種應用程式級代理伺服器，用於調解 Web 瀏覽器和伺服器之間的 HTTP 請求和回應。 Ajax 代理程式允許 Web 瀏覽器繞過同源策略，這樣便可以使用 XMLHttpRequest 存取第三方伺服器。要實現這種繞過，有以下兩種方法可供選擇：
用戶端 Web 應用程式知道第三方 URL 並將該 URL 作為 HTTP 請求中的一個請求參數傳遞給 Ajax 代理程式。然後，代理將請求轉發給 [url]www.jb51.net[/url]。注意，可以把代理伺服器的使用隱藏在 Web應用程式開發人員所使用的 Ajax 函式庫的實作中。對於 Web 應用程式開發人員而言，它看起來可能完全不具有同源策略。
客戶端 Web 應用程式不知道第三方 URL，並且嘗試透過 HTTP 存取 Ajax 代理伺服器上的資源。透過一個預先定義的編碼規則，Ajax 代理將 所要求的 URL 轉換為第三方伺服器的 URL 並代表客戶檢索內容。這樣一來，Web 應用程式開發人員看起來就像是和代理伺服器直接進行通訊。

Greasemonkey

Greasemonkey 是一個 Firefox 擴展，它允許使用者動態地對 Web 頁面的樣式和內容進行修改。 Greasemonkey 使用者可以把使用者腳本（user script）檔案與 URL 集合建立關聯。當瀏覽器透過該 URL 集合載入頁面時，便會執行這些腳本。 Greasemonkey 為使用者腳本的 API 提供了額外的許可（與運行在瀏覽器沙盒中的腳本的許可相比較）。

GM_XMLHttpRequest 是其中的一個 API，它本質上就是一個不具有同源策略的 XMLHttpRequest。使用者腳本可以將瀏覽的內建 XMLHttpRequest 替換為 GM_XMLHttpRequest，從而授權 XMLHttpRequest 執行跨網域存取。

GM_XMLHttpRequest 的使用只能透過使用者同意的途徑才能受到保護。也就是說，Greasemonkey 只有在建立新使用者腳本與特定 URL 的集合之間的關聯時才會要求使用者設定。然而，不難想像一些用戶可能會被欺騙，在沒有完全理解其後果時就接受該安裝​​。

希望本文所述對大家的javascript程式設計有所幫助。