資訊專欄INFORMATION COLUMN
摘要:可以說同源策略在安全中扮演著及其重要的角色。我把這個(gè)領(lǐng)域的東西寫成了一個(gè)系列,以后還會(huì)繼續(xù)完善下去安全一同源策略與跨域安全二攻擊安全三攻擊
之所以要將同源策略與跨域?qū)懺谝黄穑且驗(yàn)榇嬖跒g覽器的同源策略,才會(huì)存在跨域問題何為同源策略
同源策略是瀏覽器實(shí)現(xiàn)的一種安全策略,它限制了不同源之間的文檔和腳本交互的權(quán)限。只有同一個(gè)源的腳本才會(huì)具有操作dom、讀寫cookie、session 、ajax等敏感操作的權(quán)限。可以說同源策略在web安全中扮演著及其重要的角色。所謂同源簡(jiǎn)單來說即是兩個(gè)頁面必須具有相同的協(xié)議、端口還有域名。
以http://www.site.com/index.html為例,舉個(gè)小栗子:
| url | 是否跨域 | 原因 |
| http://www.site.com/other/ind... | 否 | |
| http://child.site.com/index.html | 是 | origin 不一樣(www與child) |
| http://www.site.com:8090/index.html | 是 | 端口 不一樣(80與8090) |
| https://www.site.com/index.html | 是 | 協(xié)議 不一樣(http與https) |
不得不調(diào)侃一下,在兼容性方面IE似乎永遠(yuǎn)都難以跟上別的瀏覽器發(fā)展的步伐,永遠(yuǎn)都是一個(gè)例外。
授信范圍(Trust Zones):兩個(gè)相互之間高度互信的域名,如公司域名(corporate domains),不遵守同源策略的限制。
端口:IE未將端口號(hào)加入到同源策略的組成部分之中,因此 http://www.size.com:81/index.html 和http://www.size.com:8090/index.html 屬于同源并且不受任何限制。
雖然同源策略限制了跨域文檔腳本的操作能力,但明確允許部分資源性的標(biāo)簽是可以加載跨域資源的,如, 標(biāo)簽嵌入跨域腳本。語法錯(cuò)誤信息只能在同源腳本中捕捉到。
標(biāo)簽嵌入CSS。由于CSS的松散的語法規(guī)則,CSS的跨域需要一個(gè)設(shè)置正確的Content-Type消息頭。
嵌入圖片。
@font-face引入的字體。
和