国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

20170616-跨域

Jinkey / 1245人閱讀

摘要:同源策略瀏覽器出于安全方面的考慮,不同源的客戶端腳本在沒有明確授權的情況下,不能讀寫對方的資源。傳回后回調函數立即執行參數是后端產生的數據從而實現相應的功能。

同源策略

瀏覽器出于安全方面的考慮,不同源的客戶端腳本在沒有明確授權的情況下,不能讀寫對方的資源。

同源指的是:

同協議

同域名

同端口

作用:保證用戶信息的安全,防止惡意的網站竊取數據

例1:A網站是一家銀行,用戶登錄以后,又去瀏覽其他網站。如果其他網站可以讀取A網站的 Cookie,會發生什么?很顯然,如果 Cookie 包含隱私(比如存款總額),這些信息就會泄漏。除此之外,Cookie 往往用來保存用戶的登錄狀態,如果用戶沒有退出登錄,其他網站就可以冒充用戶,為所欲為。(因為瀏覽器同時還規定,提交表單不受同源政策的限制)

例2:惡意網站的頁面通過iframe嵌入了銀行的登錄頁面(二者不同源),如果沒有同源限制,惡意網頁上的javascript腳本就可以在用戶登錄銀行的時候獲取用戶名和密碼,從而造成相關的風險。

對于當前頁面來說頁面中 JS 文件的域不重要,重要的是當前頁面所在的域與 腳本中涉及到的域(例如xht的open方法的url)是否同源

跨域

跨域:瀏覽器出于安全方面的考慮設置了同源策略來限制不同域之間的交互,但是也阻礙了不域之間的協助。為了實現不同域之間的交互、協作,因此需要“跨域”。

跨域窗口通信 降域

降域獲取同一 Cookie:Cookie 是服務器寫入瀏覽器的一小段信息,只有同源的網頁才能共享。但是,兩個網頁一級域名相同,只是二級域名不同,瀏覽器允許通過設置document.domain 共享 Cookie。

example:A 網頁是 http://w1.example.com/a.html,B 網頁是http://w2.example.com/b.html,那么只要設置相同的 document.domain,兩個網頁就可以共享 Cookie

JavaScript

// A網頁和B網頁設置相同的 document.domain
document.domain = "example.com"
// A網頁通過腳本設置 Cookie
document.cookie = "test1 = hello";
// B網頁可以獲取到該 Cookie
var otherCookie = document.cookie;

降域使不同源的iframe窗口和父窗口相互通信:如果兩個網頁不同源,就無法拿到對方的
DOM。典型的例子是 iframe 窗口和與父窗口無法通信。如果兩個窗口一級域名相同,只是二級域名不同,那么設置 document.domain 屬性,就可以規避同源政策,拿到
DOM。

A 網頁:URL: http://a.yanxin.com:8080/a.html

HTML

使用降域實現跨域

script

iframe 中的 B 網頁:URL: http://b.yanxin.com:8080/b.html
HTML

script

postMessage

HTML5為了解決跨域問題,引入了一個全新的API:跨文檔通信 API(Cross-document messaging)。
這個API為window對象新增了一個window.postMessage方法,允許跨窗口通信,不論這兩個窗口是否同源。

目的:向另一個地方傳遞數據,另一個地方指的是:包含在當前頁面的