資訊專欄INFORMATION COLUMN
摘要:同源策略是什么同源策略是瀏覽器的一個安全功能,不同源的數據禁止訪問。或許你可以說驗證,在瀏覽器沒有同源策略的情況下這些都可以繞過去。總結同源策略是蠻好的,防御了大部分的攻擊。
前端最基礎的就是 HTML+CSS+Javascript。掌握了這三門技術就算入門,但也僅僅是入門,現在前端開發的定義已經遠遠不止這些。前端小課堂(HTML/CSS/JS),本著提升技術水平,打牢基礎知識的中心思想,我們開課啦(每周四)。
同源策略是什么?同源策略是瀏覽器的一個安全功能,不同源的數據禁止訪問。
所以 lilnong.top 下的 ajax 訪問 51vv.com 數據是會報錯。(network 可以看到 response,證明限制是瀏覽器方的限制)
當然,也有例外
表單提交、鏈接
這些項等同于切換頁面
script標簽的src、link標簽的href、img標簽的src、iframe標簽的src
上述的資源可以引用,但是不可獲取內容。
img 可以顯示出來,但是你無法放入canvas二次使用,會把canvas的源污染。
iframe 可以顯示,不可以獲取DOM
script 不可獲取報錯代碼位置。
同源的定義端口、域名、協議 都相同,定義為同源。
針對http://www.lilnong.top/static這個地址來說。端口(80),域名(www.lilnong.top),協議(http)
| URL | 端口 | 域名 | 協議 | 描述 |
|---|---|---|---|---|
| https://www.lilnong.top | 80 | www.lilnong.top | https | 協議不同,不同源 |
| http://lilnong.top | 80 | lilnong.top | http | 域名不同,不同源 |
| http://lilnong.top:8080 | 8080 | lilnong.top | http | 域名不同,端口不同,不同源 |
| http://www.lilnong.top:8080 | 8080 | www.lilnong.top | http | 端口不同,不同源 |
| http://www.lilnong.top/ | 80 | www.lilnong.top | http | 同源 |
| http://www.51vv.com | 80 | www.51vv.com | http | 域名不同,不同源 |
安全問題
例子1:普通的網絡用戶,不會去記域名等內容。如果我在我自己的頁面內,嵌套一個